情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問22: 利用者PCの内蔵ストレージが暗号化されていないとき，攻撃者が利用者PCから内蔵ストレージを抜き取り，攻撃者が用意したPCに接続して内蔵ストレージ内の情報を盗む攻

問題本文

利用者PCの内蔵ストレージが暗号化されていないとき，攻撃者が利用者PCから内蔵ストレージを抜き取り，攻撃者が用意したPCに接続して内蔵ストレージ内の情報を盗む攻撃の対策に該当するものはどれか。

選択肢

• ア.内蔵ストレージにインストールしたOSの利用者アカウントに対して，ログインパスワードを設定する。
• イ.内蔵ストレージに保存したファイルの読取り権限を，ファイルの所有者だけに付与する。
• ウ.利用者PC上でHDDパスワードを設定する。
• エ.利用者PCにBIOSパスワードを設定する。

正解

ウ. 利用者PC上でHDDパスワードを設定する。

解説

HDDパスワードはストレージ装置自体に設定する認証で、正しいパスワードを与えない限りそのドライブはどのPCに接続してもデータの読み書きができなくなる。したがって、ストレージを抜き取って別のPCに接続して読み出す攻撃に対して有効な対策はHDDパスワードを設定するウである。OSやBIOSに依存する対策は、ドライブを別PCへ移されると無効になる点に注意する。

選択肢ごとの解説

• ア.OSのログインパスワードはそのOSを起動した場合の認証にすぎず、ドライブを別PCに接続して直接読み出されると効果がない。
• イ.ファイルの読取り権限はそのOSのアクセス制御に依存するため、別のOSやPCにつなぎ替えられると無効化され、対策にならない。
• ウ.HDDパスワードはドライブ自体をロックするため、抜き取って別PCに接続してもパスワードなしには読み出せず、有効な対策である。
• エ.BIOSパスワードは利用者PCの起動を制限するだけで、ドライブを抜いて別PCに接続されると保護されないため対策にならない。