さて、設問2です。

◆設問２（１）

キーワードピックします。

トラブル発生

初期ｐｗｄ不正利用対策

です。

これだけの情報での”当たり”ですが、

とにかくトラブルが発生、一体どんなトラブルなのか？

もしかして初期ｐｗｄが不正利用されたから対策と言ってるのだろうか？までです。

では、これらを踏まえて、該当チャプタ〔トラブルの発生〕内で

初期pwdのキーワードピックし、周辺の意味に”当たり”をつけます。

 関連個所から遡ってリードバックします。

まずキーワードHit！

初期ｐｗｄは有効な状態

リードバックです。

←前任者はアカウント付与後３０日で退職

←アカウント付与依頼書の初期ｐｗｄが有効

←派遣社員が退職した前任者のアカウントを使用

これらを総称すると、このトラブルの原因は、下記の事実が判明。

前任者がアカウント付与後３０日で退職したが、アカウント＆ｐｗｄは有効だった。

という事のようです。

さて、問われているのは、初期パスワードの不正利用をしない方法でしたので、

上記のようだと、使用者本人は、不正という事を気づかなかった可能性もあるので、ポイントとなるのは、退職後のｐｗｄ管理は一体どうなっとンのや？というところなのかなと思いました。

このあたりの退職後、つまり不要になったアカウントに対する規約について書かれている所が関係しそうかも。。。。です。

え～以前の〔アカウントの管理〕の最初のところでｐｗｄについて、

有効期間が決められていて、システムの場合は６０日間

そして、最後の個所で退職者の話が書かれていました。

退職した派遣、正社員のアカウント削除については直ちに承認されるが、実際はサーバから削除は２週間ごとのメンテの中で実施される。

とありました。

で、この辺りで、期間が関係して不正利用したのではと思って考えて、はたと気づきました。もしかしてそういう事ではないのかも、、、と。

そもそも設問２（１）で、初期パスワードが不正利用・・・と書かれている、”初期”という言葉が違和感ありありです。

まず考えるに、この派遣社員は、退職者のIDだけでなく、初期パスワードをなぜ使えたのかという観点が、悪しき習慣では？という事です。

え？管理者が教えたんだったら別にいいんじゃないかって？

まぁそうなんですが、退職者はアカウント付与してから退職するまでの３０日間の間、ず～～～っと、初期ｐｗｄを使用して変更しなかったというところが問題なんじゃないかという事です。

つまり、普通は、初期ｐｗｄのままなわけはないので、使った時点でなんらかのｐｗｄに変更されていると思われます。

つまり、管理者が初期ｐｗｄを教えても、その派遣社員が、あのぉすいません。教えてもらったｐｗｄがエラーではじかれて使用できないようなんですが・・・となるのが正しくて、その事で、あ、この人はもういないじゃんか！って判明するので、今回のような不正利用は起りえないと思われます。よって初期パスワードが不正利用されないための対策（解答）は、

ログイン時にIDに対して初期パスワードでログインした際のパスワードは変更する

事と思われるが、模範解答はさすがに秀逸です。

初回ログイン時にパスワードの変更を強制する

でしたが、初回ログイン、パスワード変更、強制というのは重要ポイントでした。

という事で、次回は設問２（２）ですね。