情報処理安全確保支援士(登録セキスペ)の午後問題の頻出分野「認証・アクセス制御」の攻略ポイントと過去問についてまとめました。
【令和4年度・春・午後2問2】OAuth認証,Kerberos認証、OpenID認証、SAML認証
| 項目 | 答え | 解説 |
|---|---|---|
| 公式 | 午後2問題、解答(公式)、講評 | ー |
【令和3年度・春・午後Ⅰ問1】クラウドサービスのセキュリティ(OAuth認証)
| 項目 | 答え | 解説 |
|---|---|---|
| 公式 | 午後Ⅰ問題、解答(公式)、講評 | ー |
| 設問1 | (1)多要素認証の実装をSサービス側に用意せずに済む。 | 「前回の脆弱性診断で、認証方式を多要素認証にする方がよい」との助言を受けて、今回の改修でそれを目指している。 |
| 設問1 | (2)Tサービスに障害が発生すると、Sサービスが利用できなくなる | ※SNSと連携しない場合にも該当する欠点だと駄目。 |
| 設問1 | (3)(a)ア:Sサービス (b)イ:Tサービス (c)ウ:利用者 | ※OAuthのプロトコルの理解が必要 注記に記載の通り、Sサービスの利用を開始するためにはアカウント名(T-ID)を利用するため、SサービスがTサービスのリソース(=アカウント名)へアクセスが必要となる。 |
| 設問1 | (4)え:認証、権限付与の確認 | 図3に記載のとおり、利用者に対し、「認証、権限付与の確認」をしている。 |
| 設問2(1) | (d)ウ (e)ア | OAuthのCSRF攻撃のこと。攻撃者が利用者とSサービスの間に入り込み中継することで、利用者からはSサービスの利用が開始されたように見える。問題となるのは『攻撃者の用意したアカウントが利用者のTサービスと紐付けられる』とあり、攻撃者は利用者のアカウントに不正アクセスしファイルを参照できてしまう点である。 |
| 設問2(2) | ファイルのアップロード、ダウンロードともに「攻撃者」のアカウント | 攻撃者が用意したアカウントに利用者が導かれてしまう攻撃手法。利用者は攻撃者のアカウントでログインしていることに気付かず、ファイルをアップロードすることで攻撃が成功します。 |
| 設問2(3) | (β)い:許可の要求 (γ)か:許可コード | stateパラメタは「認可コードを送るタイミング」「認可コードを受けるタイミング」のそれぞれで送信される。 |
| 設問3(1) | (エ):利用者のアカウント名、電子メールアドレスなど登録情報を取得する権限 | 図2に記載の通り、Sサービス利用時はTサービスのアカウント名が必要。それ以外の情報については用途の記載がないため、必要なのは『Tサービスのアカウント名』のみ |
| 設問3(2) | S認証モジュールに利用者IDとパスワードを登録していないS会員 | ー |
| 設問4 | Tサービスで認証されたS会員のT-IDが、Sサービス内に登録されていることを確認する。 | 図2注記より、SサービスはTサービスから連携されたT-IDを利用して、認証を行います。 |
問題に登場するキーワードの中でポイントを以下にまとめました。
| ポイント | 解説 |
|---|---|
| OAuth | OAuthとは、複数のWebサービスのセキュリティ機能を連携させることができる仕組みです。通常、あるユーザーがWebサービスを利用する場合、Webサービス毎にIDとパスワードを登録してログインする必要があります。OAuthにより複数のWebサービスを連携すれば、1つのWebサービスにログインすれば連携している他のWebサービスにはログインせずに利用できるようになります。最近だと、GoogleやTwitterアカウントなどでログインできるWebサービスが増えていますが、そういった仕組みがOAuthです。 |
【令和3年度・春・午後Ⅱ問2】クラウドサービスのセキュリティ(SAML認証)
| 項目 | 答え | 解説 |
|---|---|---|
| 公式 | 午後Ⅱ問題、解答(公式)、講評 | ー |
| 設問1 | (1)オ(リンクローカルアドレス) | ー |
| 設問1 | (2)多くの個人所有機器がC社内LANに接続され、IPアドレスが枯渇する問題が発生した | ー |
| 設問1 | (3)DHCPサーバーを稼働させたまま行う方法:L2SWにミラーポートを設定し、ポートミラーリングとLANモニタでDHCP OFFERの数を確認 | ー |
| 設問1 | (3)DHCPサーバーを停止させて行う方法:DHCPによるIPアドレスの配布がされていないことを確認 | ー |
| 設問2 | 企画部員の部員がアクセスできるチャットエリアで共有されている情報 | 対象となるサービスの仕様(チャット)、トラブルの状況(アカウントへの不正ログイン)から、情報漏えいがあった場合の最大の被害を想定する必要がある |
| 設問3(1) | (a)C-PC (b)AP | ー |
| 設問3(2) | エ(6より後に) | IEEE 802.1Xのシーケンスについて、DHCPサーバからIPアドレスを割り当てるタイミングを理解している必要がある。 |
| 設問4(1) | インターネットを使って情報収集する業 | p.15の説明より「インターネットを使って情報収集する業務」「事業部や企画部の顧客への提案や企画の立案」などをほぼそのまま引用すればいい |
| 設問4(2) | 2 | ー |
| 設問4(3) | 1 | ー |
| 設問4(4) | 記号:ウ、方法:「TLSクライアント認証による検証」など | ー |
| 設問5(1) | 「ISMS認証」「ISAE3402/SSAE26」など | ー |
| 設問5(2) | 4 | ー |
| 設問6(1) | 「秘密鍵を書き出しできないように設定する」など | ー |
| 設問6(2) | 「管理者がPソフトを一般利用者権限では変更できないように設定する」など | ー |
問題に登場するキーワードの中でポイントを以下にまとめました。
| ポイント | 解説 |
|---|---|
| リンクローカルアドレス | DHCPサーバが存在しない、もしくはDHCPサーバが割当て可能なアドレス数を超過してIPアドレスが割り当てられなかったとき、個々のコンピュータが自分自身に割り振る特別なIPアドレス。IPv4アドレスでリンクローカルアドレスとして使われる範囲は、「169.254.0.0~169.254.255.255」で、それぞれのローカルネットワーク上でしか使うことができない。 自己割り当てIPアドレス、AutoIPともいう。 |
| DHCPサーバ | LAN上のパソコンなどが起動すると、その都度、IPアドレスなどのネットワーク利用に必要な設定情報を、本商品から各パソコンなどに自動的に割り当てる機能で動的割り当てのために用意したアドレスプールを超える数のクライアントが同時にネットワークに接続されると、割り当てるIPアドレスが足りなくなる。 |
| DHCP OFFER | クライアントからの要求に対して提案IPを添えてDHCP提案をすること。本来、DHCPサーバが1つしかないのに、偽のDHCPサーバがもう1つあれば、DHCP OFFERの数は2になる。 |
| TLSクライアント認証 | TLSクライアントから、TLSサーバーへID・パスワードの代わりとなるクライアント証明書を送信し、サーバーで認証を行う認証方式。クライアント側にクライアント証明書を一度インストールすれば、ID/パスワードの入力をせずにクライアント認証できるのが最大の利点です。サーバ側には「クライアント証明書のルート証明書」が必要になります。 |
| ISMS認証 | 財団法人・日本情報処理開発協会(JIPDEC)が定めた評価制度(ISMS適合性評価制度)。 指定の審査機関が企業の情報セキュリティマネジメントシステムを審査し、国際標準と同等の「ISMS認証基準」に準拠していれば(要求事項を満たしていれば)、認証を与えるというもの。情報システムの調達において、発注者側が受注者側にISMS認証を取得していることを要件とすることがあります。 |
| SAML | 異なるインターネットドメイン間でユーザー認証を行うためのXMLをベースにした標準規格です。SAMLを利用すると、ユーザーは認証サーバーに1回ログインするだけで、SAML対応している複数のクラウドサービスやWebサービスを利用することができるようになります。つまり、SSO(シングルサインオン)の種類の1つです。 |
【令和2年度・午後2問2】クラウドサービスのセキュリティ(SAML認証)
| 項目 | 答え | 解説 |
|---|---|---|
| 公式 | 午後Ⅱ問題、解答(公式)、講評 | ー |
| 設問1(1) | イ:シェアードシークレット | ー |
| 設問1(2) | 第三者のOTPアプリで不正にOTPを生成される | ー |
| 設問1(3)a | ウ:トークン要求 | ー |
| 設問1(3)b | エ:許可コードを検証 | ー |
| 設問1(3)c | イ:トークン応答 | ー |
| 設問1(3)d | ア:トークンを検証 | ー |
| 設問1(3)e | カ:ユーザー情報要求 | ー |
| 設問1(3)f | オ:ユーザー情報応答 | ー |
| 設問2 | 社内情報を表示した画面をカメラで撮影するという方法 | ー |
| 設問3(1) | 社内情報を表示した画面のスクリーンショットを取るという方法 | ー |
| 設問3(2) | ア、ウ、エ | ー |
| 設問4 | セキュリティ対策についての第三者による監査報告書で確認する方法 | ー |
| 設問5 | Daas-Vでのクライアント証明書によるデバイス認証 | ー |
| 設問6(1)g | パスワードの推測によってログイン | ー |
| 設問6(2) | 容易に推測可能なPINコードを設定する | ー |
| 設問6(3) | クライアント証明書によるデバイス認証を行う仕組み | ー |
【設問1(3)】
発行された秘密情報(トークンや許可コード)は〇〇のタイミングで検証すれば認証の安全性が担保される
| 用語 | 概要 |
|---|---|
| IDaaS | 企業のID管理などの認証基盤をクラウド上から提供するサービス。 |
| DaaS | 「デスクトップ仮想化システム」 をクラウドサービスとして提供すること。 |
| SaaS | 必要な機能を必要な分だけサービスとして利用できるようにしたソフトウェアもしくはその提供形態のこと。 |
| FIDO方式 | FIDO(Fast IDentity Online、ファイド、訳:素早いオンライン認証)は従来のパスワードに代わるとみられている認証技術の1つ。生体認証などを利用するため「ユーザーはパスワードを憶える必要がない」「生体認証を端末側で行うことで「生体情報そのものはネットワーク上に流れない、サーバーで保持しない」ためインターネット上には生体情報が流通せず、情報漏洩のリスクが軽減される」という特徴がある。 |
| OTP | ワンタイムパスワード(OTP)とは、使い切りのパスワードのこと。 |
| RADIUS認証 | Radiusサーバ、Radiusクライアント、ユーザーの3つの要素で構成される。Radiusクライアントは、アクセスしてくるユーザの認証要求を受け付けてRadiusサーバにその情報を転送します。Radiusサーバは、その認証要求に応じて認証を実行してアクセスを許可するかどうかを決定します。認証時に使用するユーザ情報はRadiusサーバがローカルデータベースとして保持するか、外部データベースとして保持します。 |
| Implictフロー | 認可エンドポイントに認可リクエストを投げ、応答として直接アクセストークンを受け取るフロー。 |
【令和4年度・春・午後1問2】QRコード決済と銀行口座の認証
| 項目 | 答え | 解説 |
|---|---|---|
| 公式 | 午後1問題、解答(公式)、講評 | ー |
【通信プロトコルとは】インタフェース、TCP/IP、HDLC、CORBA、HTTP、DNS、SOAP、IPv6、シリアル通信
ネットワークにおける「通信プロトコル」とは?プロトコルとインタフェース、TCP/IP、HDLC、CORBA、HTTP、DNS、SOAP、IPv6、シリアル通信についてまとめました。
algorithm.joho.info
2019.01.29
【情報処理入門】用語解説・資格試験対策まとめ
情報処理分野の用語・原理・資格試験対策について解説します。
algorithm.joho.info
2023.08.08
コメント