今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は6.2章:認証の基礎のCheck問題です。
【Q1】認証にはどのような種類があるか。
日本語では認証と一括りにされるが大きくはAuthenticationとCertificationの2種類に分けられる。
Authenticationは生体情報、ユーザID、パスワードなどの識別情報に基づいて、人、物、情報を識別し、その正当性や真正性を確認する。二者間認証ともいう。
Certificationはディジタル証明書に代表されるように、認証局などの信頼できる第三者機関が発行する証明書をもとに、そと持ち主の正当性を確認する。三者間認証ともいう。
【Q2】本人認証の手段によるメリット・デメリットとしては何があるか。
パスワード・暗証番号・生年月日などの記憶や秘密による認証
メリット:設置や設定にかかるコストが低い
デメリット:推測や辞書攻撃により破られる可能性がある
ICカード・ディジタル証明書などの所有物による認証
メリット:所有物がしっかり管理されていれば簡便で安全
デメリット:所有物の貸し借り、複製、盗難のおそれがある
指紋・虹彩・筆跡などの生体認証
メリット:本人以外を本人と誤認識する可能性が低い
デメリット:測定装置が高額、体調の変化などにより本人を本人でないと誤認識することがある
【Q3】端末情報の照合はユーザにとってはどのような利点があるか。
通常使用する端末以外の端末からアクセスがあったときに不正利用された可能性があることをユーザに注意喚起してくれる。
【Q4】二要素認証(多要素認証)、二段階認証について説明せよ。
ユーザIDとパスワードで1回目の認証を行った後、登録されている端末や電子メールに二段階認証用のパスワードが送信される方式。
【Q5】リスクベース認証とは何か。
ユーザのログイン時にユーザの端末やOSやブラウザの種類、IPアドレス、アクセス時間などをもとに、普段通りであればそのままログインできるが、いつもと違う場合はリスクありと判断され、秘密の質問などの追加情報の入力ご求められる認証方式。
【Q6】FIDOについて説明せよ。
Fast IDentity Onlineの略で、生体認証による簡便でセキュアなオンライン認証を実現する技術。次のような認証モデルを使用している。
①利用者の手元にあるスマートフォンなどのデバイスが認証器となり、利用者本人を検証する
②本人性の検証結果がサーバに送付され、認証サーバは検証結果の妥当性を確認し、認証を完結する。
③ネットワーク上に利用者の認証情報は流さない。
④利用者の認証情報は利用者のデバイス内に保存し、サーバには保存しない
【Q7】CAPTCHAについて説明せよ。
人間とコンピュータを判別するための完全に自動化された公開チューリングテスト。
登録や問い合わせなどのWebページにおいて、人間以外のリクエストを排除するために歪んだ画像から文字列を正しく読み取り入力するように求める。
私が使っているのは2022年版のテキストですが、2024年版も出ています。