社内のセキュリティポリシーで、利用者の事故に備えて秘密鍵を復元できること、及びセキュリティ管理者の不正防止のための仕組みを確立することが決められている。
電子メールで公開鍵暗号方式を使用し、鍵の生成はセキュリティ部門が一括して行っている場合、秘密鍵の適切な保管方法はどれか。
ア | 1人のセキュリティ管理者が、秘密鍵を暗号化して保管する。 |
イ | 暗号化された秘密鍵の一つ一つを分割し、複数のセキュリティ管理者が分担して保管する。 |
ウ | セキュリティ部門には、秘密鍵を一切残さず、利用者本人だけが保管する。 |
エ | 秘密鍵の一覧表を作成し、セキュリティ部門内に限り参照できるように保管する。 |
答え イ
【解説】
ア | 1人のセキュリティ管理者に秘密鍵の情報を集めてしまうと、秘密鍵の復元は可能であるが、このセキュリティ管理者が不正行為を行った場合、安全性を保つことができない。 |
イ | 複数のセキュリティ管理者が分割して秘密鍵を保管しているので、秘密鍵の復元が可能であり、また、複数のセキュリティ管理者に情報が分割しているため、不正が発生しづらい。 |
ウ | セキュリティ部門に秘密鍵の情報がないので、セキュリティ管理者の不正は防止できるが、利用者が秘密鍵を紛失した場合、秘密鍵の復元ができない。 |
エ | 秘密鍵の一覧表を作成し、参照可能にすることは、セキュリティ管理者の不正を防止できない。また、不正発覚時に不正を行ったものの特定も困難である。 |
【キーワード】
・セキュリティポリシー