メニュー

【IPシラバス6.3】(4) 利用者認証

テクノロジ系【学習問題】
本ページはPRが含まれています
正解数: 0/0 (0%)
見出し

この章のワンポイント解説

ポイント解説

システム(特にWEBシステム)において利用者の認証は必須になります。ログインIDとパスワードが基本となり、パスワードの使いまわしをしないなどの基本的な対策事項に加えて、セキュリティ強化の観点から様々な追加認証方法が加えられています。

またシステム側ではアクセス管理(権限に応じた利用範囲)を行うことでリスクが発生する範囲を予め限定的にすることも大切です。

アイパス(IDパスワード)に加えて他の認証方法(SMSでのワンタイムパスワードなど)が加わることで利便性は低下しますが昨今では多要素での認証が多くなっています。

また、企業では認証(ログイン)が必要なクラウドサービスの利用が広がっており従業員のパスワード管理が煩雑になっています。そのため、セキュリティ面と利便性の確保のためシングルサインオンの仕組みを導入するケースも増えています。(現実として不便すぎると一部の社員が簡単なパスワードや使いまわしをしてしまうなどの課題が発生してしまいます。面倒なものは面倒なんですよね…企業では定期的なセキュリティ研修が推奨されますがシングルサインオンのような仕組みの導入も必要性が高まっていると言えますね。)

全体のどこを学習しているのか把握しながら進めましょう。IPAシラバス原本PDFはこちら

このページは以下の「ITパスポート シラバス6.3」学習用コンテンツです。

◆大分類:9.技術要素
◆中分類:23.セキュリティ

◆小分類◆見出し◆学習すべき用語
63.情報セキュリティ対策・情報セキュリティ実装技術(4) 利用者認証ログイン(利用者IDとパスワード)
アクセス管理
ICカード
ワンタイムパスワード
多要素認証
パスワードレス認証
EMV 3-Dセキュア(3Dセキュア 2.0)
SMS認証
シングルサインオン

ログイン(利用者IDとパスワード)とは?

ログインとはコンピュータシステムやネットワークにアクセスするために利用者IDとパスワードを使用する認証プロセスです。利用者IDは個人を特定するための情報であり、パスワードは秘密の文字列で個人を認証します。

ログインはセキュリティの基本であり、正しいIDとパスワードを入力することで、ユーザーは自身のアカウントにアクセス可能となり、個人の情報やデータを保護する役割を果たします。

ログイン(利用者IDとパスワード)に関する学習用問題にトライ!

問題
システムにログインするための利用者IDとパスワードの組み合わせについて、適切でないものはどれですか?

  1. 利用者IDは一意でなければならない
  2. パスワードは定期的に変更する必要がある
  3. 利用者IDはパスワードと同一でも問題ない
%%replace6%%

正解
3. 利用者IDはパスワードと同一でも問題ない

解説
利用者IDとパスワードの組み合わせにおいて、利用者IDは一意である必要があります。また、パスワードはセキュリティの観点から定期的に変更することが推奨されます。

しかし、利用者IDとパスワードが同一であることはセキュリティリスクを高めるため避けるべきです。利用者IDは認証のための識別子であり、パスワードはその認証を補強する秘密情報です。両者が同一であるとセキュリティの脆弱性が高まります。

問題
利用者がシステムにログインする際に用いる情報として、最も重要なのはどれですか?

  1. 画面に表示される認証コード
  2. 利用者のメールアドレス
  3. 利用者IDとパスワード
%%replace6%%

正解
3. 利用者IDとパスワード

解説
システムにログインする際に最も重要な情報は利用者IDとパスワードです。これらはユーザーを一意に識別し、システムへのアクセス権を確認するために必要です。

画面に表示される認証コードやメールアドレスはログインプロセスを補助するために使用されることがありますが、基本的なログイン認証には利用者IDとパスワードが必須です。認証情報はセキュリティを守るために適切に管理される必要があります。

問題
パスワード管理のベストプラクティスとして適切でないものはどれですか?

  1. 長くて複雑なパスワードを使用する
  2. 同じパスワードを複数のアカウントで使い回す
  3. パスワードを定期的に変更する
%%replace6%%

正解
2. 同じパスワードを複数のアカウントで使い回す

解説
セキュリティリスクを低減する上でパスワード管理において重要なことは、長くて複雑なパスワードを使用することと、定期的にパスワードを変更することです。

一方、同じパスワードを複数のアカウントで使い回すことは、1つのアカウントが侵害された場合に他のアカウントも危険にさらされるため避けるべきです。個々のアカウントに固有のパスワードを設定することが、セキュリティを高めるための重要なポイントです。

アクセス管理とは?

アクセス管理とは情報システムやネットワークへのアクセス権を制御するプロセスのことです。

アクセス管理は誰がどのリソースにアクセスできるかを決定するためにユーザーの認証と認可を行います。

このプロセスにより、不正アクセスを防止し、データの機密性や安全性を維持します。アクセス管理は、適切な権限を与えたユーザーにのみ情報を提供し、業務効率の向上にも寄与することができます。

アクセス管理に関する学習用問題にトライ!

問題
アクセス管理の目的として、最も適切なものはどれですか?

  1. システムの性能を向上させること
  2. 利用者の個人情報を収集すること
  3. 不正アクセスを防止し、情報の安全を確保すること
%%replace6%%

正解
3. 不正アクセスを防止し、情報の安全を確保すること

解説
アクセス管理の主な目的は不正アクセスを防止し情報の安全を確保することで、システム内のデータやリソースが適切に保護され正当な利用者のみが必要な情報にアクセスできるようにします。

システムの性能向上や個人情報の収集はアクセス管理の目的ではなく、セキュリティ対策の一環としてアクセス管理が重要です。情報資産の保護がアクセス管理の中核的な役割です。

問題
アクセス管理における「最小権限の原則」とは何ですか?

  1. 利用者に必要最低限の権限のみを付与すること
  2. 利用者に全ての権限を付与して業務効率を上げること
  3. 利用者の権限を毎日変更すること
%%replace6%%

正解

  1. 利用者に必要最低限の権限のみを付与すること

解説
最小権限の原則は利用者に必要最低限の権限のみを付与することを指します。不要な権限を持たせることで生じるセキュリティリスクを最小限に抑えることができます。

全ての権限を付与することはセキュリティ上危険であり、権限を毎日変更することも現実的ではありません。必要な権限のみを適切に管理し、利用者の業務に応じたアクセス権を与えることが重要です。

問題
アクセス管理において適切でない手法はどれですか?

  1. 二要素認証を導入する
  2. 利用者ごとに異なるアクセス権を設定する
  3. 権限を一度設定したら変更しない
%%replace6%%

正解
3. 権限を一度設定したら変更しない

解説
アクセス管理において適切な手法は二要素認証を導入し利用者ごとに異なるアクセス権を設定することで、セキュリティが強化され適切なアクセス制御が実現されます。

一方で、権限を一度設定したら変更しないという方法は業務の変化や役割の変更に対応できず、セキュリティリスクを高める可能性があります。定期的にアクセス権を見直し、適切な管理を行うことが重要です。

ICカードとは?

ICカードとは内部にIC(集積回路)チップを搭載したカードであり、データの記録や処理が可能な電子カードです。

ICカードには、接触型と非接触型の2種類があり、交通機関の乗車券、クレジットカード、社員証、電子マネーなどに広く利用されています。

ICカードは暗号化されたデータを安全に保持し、個人認証や支払いを迅速に行うために使用されます。その高度なセキュリティ機能により、不正利用を防止します。

問題
ICカードの利用目的として適切なものはどれですか?

  1. 認証とアクセス制御の強化
  2. コンピュータのハードウェアの向上
  3. 通信速度の改善
%%replace6%%

正解

  1. 認証とアクセス制御の強化

解説
ICカードは認証とアクセス制御を強化するために使用されます。特定のシステムや施設へのアクセスを制限し、セキュリティを向上させることが可能です。

コンピュータのハードウェアの向上や通信速度の改善は、ICカードの直接的な目的ではありません。ICカードは個人情報やアクセス権を安全に管理し、必要な人だけが情報にアクセスできるようにするためのツールです。

問題
ICカードの特性として適切でないものはどれですか?

  1. 高度なセキュリティ機能を持つ
  2. 多数のデータを格納できる
  3. 電子機器の性能を向上させる
%%replace6%%

正解
3. 電子機器の性能を向上させる

解説
ICカードは高度なセキュリティ機能を持ち、多数のデータを格納できるという特性があります。しかし、電子機器の性能を向上させることはICカードの役割ではありません。

ICカードは情報の暗号化やユーザーの認証を行うことで、データの安全性を保護します。電子機器自体の性能を向上させるためのものではないため、その特性とは異なります。ICカードはデータセキュリティを強化するための技術です。

問題
ICカードの利用に関連するセキュリティリスクとして、最も可能性が低いものはどれですか?

  1. カードの偽造
  2. 通信の盗聴
  3. ハードウェアの損傷によるデータの消失
%%replace6%%

正解
3. ハードウェアの損傷によるデータの消失

解説
ICカードに関連するセキュリティリスクには、カードの偽造や通信の盗聴が含まれます。これらは、ICカードを利用する上で注意が必要なリスクです。

しかし、ハードウェアの損傷によるデータの消失は、ICカードそのもののセキュリティとは直接的な関係がありません。ICカードは情報の安全性を高めるためのツールであり、物理的な損傷よりもデータの暗号化や不正アクセス防止に重点を置いています。

ワンタイムパスワードとは?

ワンタイムパスワード(OTP)とは、ログインや取引を行う際に1回限り有効な使い捨てのパスワードを指します。

OTPは通常の固定パスワードと異なり毎回異なる文字列を使用するため、セキュリティが強化されます。OTPは時間制限付きで、数分間のみ有効です。仮にパスワードが盗まれても、次回の利用時には使用できないためセキュリティリスクを大幅に低減します。

ワンタイムパスワードに関する学習用問題にトライ!

問題
ワンタイムパスワード(OTP)の主な特徴はどれですか?

  1. 短時間で失効するため使い回しができない
  2. 定期的に変更する必要がある長期的なパスワード
  3. ユーザーの生体情報を用いて認証を行う
%%replace6%%

正解

  1. 短時間で失効するため使い回しができない

解説
ワンタイムパスワード(OTP)は短時間で失効するため、使い回しができない特徴を持ちます。OTPは認証のたびに新しいパスワードを生成し、セキュリティを強化します。

定期的に変更する必要がある長期的なパスワードや、ユーザーの生体情報を用いた認証とは異なります。OTPは不正アクセスを防ぐために効果的です。

問題
ワンタイムパスワードが利用される理由として適切でないものはどれですか?

  1. セキュリティ強化のため
  2. ユーザーの利便性向上のため
  3. 生体認証の精度向上のため
%%replace6%%

正解
3. 生体認証の精度向上のため

解説
ワンタイムパスワードはセキュリティ強化のために利用されるものであり、ユーザーの利便性をある程度犠牲にしても不正アクセスを防止する目的で導入されます。

生体認証の精度向上は、ワンタイムパスワードとは関連性がありません。OTPは主に固定パスワードのリスクを軽減するための手段として使用されます。

問題
ワンタイムパスワードの生成方法として適切なものはどれですか?

  1. ユーザーが手動で設定する
  2. サーバーまたは認証アプリで自動的に生成される
  3. 生体情報を元に計算される
%%replace6%%

正解
2. サーバーまたは認証アプリで自動的に生成される

解説
ワンタイムパスワードはサーバーや認証アプリで自動的に生成される方法が適切です。

ユーザーが手動で設定するものではなく、生体情報を基に計算されるわけでもありません。この自動生成により毎回異なるパスワードを提供し、セキュリティを強化します。OTPの自動生成はユーザーの負担を減らしながら、高い安全性を提供します。

多要素認証とは?

多要素認証(Multi-Factor Authentication、MFA)は複数の異なる認証手段を組み合わせて、ユーザーの身元を確認するセキュリティ手法です。

通常、何か「知っているもの」(パスワード)、何か「持っているもの」(スマートフォンやICカード)、何か「備わっているもの」(指紋や顔認証)を用いることが一般的です。

MFAは一つの要素が不正に利用された場合でも他の要素によってセキュリティを保護するため、不正アクセスのリスクを大幅に低減します。

多要素認証に関する学習用問題にトライ!

問題
多要素認証(MFA)の主な目的はどれですか?

  1. 一つの認証手段に依存するセキュリティリスクを低減すること
  2. パスワードの記憶を簡単にすること
  3. 生体情報のみで認証を行うこと
%%replace6%%

正解

  1. 一つの認証手段に依存するセキュリティリスクを低減すること

解説
多要素認証(MFA)は一つの認証手段に依存するセキュリティリスクを低減するために使用されます。

MFAは複数の異なる要素(例:知識、所有物、生体情報)を組み合わせて認証を行いセキュリティを強化します。パスワードの記憶を簡単にしたり、生体情報のみによる認証とは異なります。多要素認証はより堅牢なセキュリティを提供します。

問題
多要素認証の例として適切でないものはどれですか?

  1. パスワードとPINコードの組み合わせ
  2. パスワードと顔認証の組み合わせ
  3. 暗証番号のみの使用
%%replace6%%

正解
3. 暗証番号のみの使用

解説
多要素認証はパスワードとPINコード、パスワードと顔認証など複数の認証要素を組み合わせて使用するものです。暗証番号のみの使用は単一要素認証であり、多要素認証には該当しません。

MFAの目的は複数の要素を組み合わせることで、セキュリティを大幅に強化することです。単一の要素だけでは多要素認証の効果は得られません。

問題
多要素認証において使用される認証要素として適切でないものはどれですか?

  1. 所有物(スマートカードやトークン)
  2. 場所(ユーザーの位置情報)
  3. 年齢(ユーザーの生年月日)
%%replace6%%

正解
3. 年齢(ユーザーの生年月日)

解説
多要素認証では所有物(スマートカードやトークン)、場所(ユーザーの位置情報)などが使用されますが、年齢や生年月日は通常、認証要素として使用されません。

年齢は固定的な情報であり、セキュリティの強化には繋がりません。多要素認証は動的かつ確認可能な要素を用いることで、認証の信頼性を高めます。

パスワードレス認証とは?

パスワードレス認証は従来のパスワードを使用せずに認証を行う方法です。この方法では指紋認証、顔認証、ワンタイムパスワード、SMS認証などを使用してユーザーを識別します。

パスワードを管理する手間やパスワード漏洩のリスクを軽減することができ、より安全で便利な認証体験を提供します。セキュリティと利便性の両立を目指した新しい認証技術として注目されています。

パスワードレス認証に関する学習用問題にトライ!

問題
パスワードレス認証の利点として最も適切なものはどれですか?

  1. ユーザーの記憶に依存しないため、セキュリティが向上する
  2. 全てのユーザーに同じ認証方法を提供できる
  3. パスワード管理の手間が増える
%%replace6%%

正解

  1. ユーザーの記憶に依存しないため、セキュリティが向上する

解説
パスワードレス認証はユーザーの記憶に依存しないため、セキュリティが向上します。通常のパスワード認証はユーザーがパスワードを覚える必要があるため、脆弱性が生まれることがあります。

しかし、パスワードレス認証では、メールリンクや生体情報などを利用して認証を行うため、セキュリティが強化され、ユーザーの利便性も向上します。

問題
パスワードレス認証に利用される手段として不適切なものはどれですか?

  1. ワンタイムリンク
  2. 短時間で変わる暗号
  3. 長期的に記憶する秘密の質問
%%replace6%%

正解
3. 長期的に記憶する秘密の質問

解説
パスワードレス認証にはワンタイムリンクや短時間で変わる暗号が利用されますが、長期的に記憶する秘密の質問は不適切です。秘密の質問は固定情報でありパスワードレスの利点を損なうことがあります。

パスワードレス認証は動的で安全性の高い認証手段を用いることで、セキュリティと利便性を両立させます。

問題
パスワードレス認証の欠点として考えられるものはどれですか?

  1. 生体認証に依存する場合、デバイスに制限がある
  2. 認証のプロセスが単純すぎてセキュリティが低下する
  3. 認証にかかる時間が長くなる傾向がある
%%replace6%%

正解

  1. 生体認証に依存する場合、デバイスに制限がある

解説
パスワードレス認証は生体認証やデバイス認証に依存するため、使用するデバイスに制限がある場合があります。

この制限が特定のデバイス以外での利用を難しくすることがあります。認証プロセスが単純すぎることはなく、むしろセキュリティを高める手段です。また、認証にかかる時間は多くの場合、ユーザーにとって効率的です。

EMV 3-Dセキュア(3Dセキュア2.0)とは?

EMV 3-Dセキュア(3Dセキュア2.0)は、オンラインクレジットカード取引のセキュリティを強化するための認証プロトコルです。

従来の3Dセキュアの進化版でユーザー体験を向上させつつ、より高度なセキュリティを提供します。

このプロトコルはリスクベースの認証を採用し、取引の背景を分析して必要に応じて追加認証を行います。これにより不正取引の防止とスムーズな取引を実現します。

EMV 3-Dセキュア(3Dセキュア 2.0)に関する学習用問題にトライ!

問題
EMV 3-Dセキュア(3Dセキュア 2.0)の目的として最も適切なものはどれですか?

  1. インターネットバンキングの利便性を向上させる
  2. オンライン取引の不正行為を防止し、セキュリティを強化する
  3. クレジットカードの有効期限を延長する
%%replace6%%

正解
2. オンライン取引の不正行為を防止し、セキュリティを強化する

解説
EMV 3-Dセキュア(3Dセキュア 2.0)は、オンライン取引の不正行為を防止し、セキュリティを強化することを目的としたプロトコルです。

これはクレジットカードやデビットカードのオンライン取引において、ユーザー認証を強化し、不正使用を防ぐ仕組みです。

インターネットバンキングの利便性を向上させたり、カードの有効期限を延長する機能はありません。消費者と販売者の双方にとって安心して取引を行える環境を提供します。

問題
3Dセキュア 2.0の特徴として適切でないものはどれですか?

  1. スマートフォンアプリによる認証が可能
  2. 追加のハードウェアが必要
  3. リスクベースの認証が行える
%%replace6%%

正解
2. 追加のハードウェアが必要

解説
3Dセキュア 2.0はスマートフォンアプリによる認証やリスクベースの認証が可能です。

しかし、追加のハードウェアは必要ありません。3Dセキュア 2.0はデジタル決済の際にカード所有者を確認するためのプロトコルで、追加のデバイスを必要としない柔軟な認証方法を提供します。取引の安全性を高めつつ、ユーザー体験を損ないません。

問題
3Dセキュア 2.0におけるリスクベース認証の説明として正しいものはどれですか?

  1. すべての取引に対して同一の認証ステップを要求する
  2. 取引のリスクに応じて認証の強度を調整する
  3. ユーザーの生体情報を必ず利用する
%%replace6%%

正解
2. 取引のリスクに応じて認証の強度を調整する

解説
3Dセキュア 2.0のリスクベース認証は、取引のリスクに応じて認証の強度を調整します。

低リスクの取引では迅速に承認し、高リスクの場合には追加の確認を求めるなど、柔軟に対応します。

すべての取引で同一の認証ステップを要求することはなく、生体情報の利用も必須ではありません。このアプローチによりセキュリティと利便性のバランスを最適化しています。

SMS認証とは?

SMS認証はユーザーの携帯電話番号にSMSを通じて確認コードを送信し、ユーザーの身元を確認する認証方法です。

このコードは一時的であり、ログインや取引の際に入力することで本人確認を行います。SMS認証はパスワードに加えて追加のセキュリティ層を提供するため、多要素認証の一部として利用されることもあります。携帯電話を用いるため、手軽でありながら、効果的なセキュリティ対策です。

SMS認証に関する学習用問題にトライ!

問題
SMS認証の主な利点として最も適切なものはどれですか?

  1. パスワードを必要としないため、記憶が不要である
  2. ユーザーが所有するデバイスに対してリアルタイムでワンタイムパスコードを送信できる
  3. セキュリティが高いため、他の認証方法が不要である
%%replace6%%

正解
2. ユーザーが所有するデバイスに対してリアルタイムでワンタイムパスコードを送信できる

解説
SMS認証の主な利点はユーザーが所有するデバイスにリアルタイムでワンタイムパスコードを送信できることで認証の安全性を向上させます。

パスワードの記憶が不要ということではなく、SMS認証自体もセキュリティを完全に保証するものではないため、他の認証方法と併用することが一般的です。より多層的なセキュリティが提供されます。

問題
SMS認証の欠点として適切でないものはどれですか?

  1. スマートフォンが必要である
  2. SMSの遅延や不達が発生する可能性がある
  3. デバイスを紛失しても認証に影響しない
%%replace6%%

正解
3. デバイスを紛失しても認証に影響しない

解説
SMS認証ではユーザーがスマートフォンを持っていることが前提であり、SMSの遅延や不達のリスクもあります。

しかし、デバイスを紛失するとSMS認証ができなくなり、認証に大きな影響を与えます。デバイス紛失時の対策としてバックアップコードや他の認証手段を用意することが重要です。万一の際にもセキュリティを維持できます。

問題
SMS認証がセキュリティ上不十分とされる理由として正しいものはどれですか?

  1. 通信事業者のネットワークを利用するため、第三者による傍受が可能である
  2. スマートフォンの電源がオフでも認証できるため
  3. メールアドレスとパスワードの漏洩を防止するため
%%replace6%%

正解

  1. 通信事業者のネットワークを利用するため、第三者による傍受が可能である

解説
SMS認証は通信事業者のネットワークを利用するため、第三者による傍受の可能性があるため、セキュリティ上不十分とされることがあります。特に、SMSは暗号化されていないため、攻撃者がメッセージを盗聴するリスクがあります。

スマートフォンの電源がオフの場合認証はできず、メールアドレスとパスワードの漏洩は別のセキュリティ問題です。SMS認証は多要素認証の一部として利用されることが一般的です。

シングルサインオンとは?

シングルサインオン(SSO)は一度のログインで複数のシステムやアプリケーションにアクセスできる認証方式です。

SSOはユーザーが毎回異なるアカウントにログインする手間を省き利便性を向上させます。ユーザー体験が向上し、企業における管理負担も軽減されます。また、パスワードの使い回しを防ぐことで、セキュリティの向上にも寄与します。SSOは多くの企業やサービスで採用されている便利な技術です。

シングルサインオンに関する学習用問題にトライ!

問題
シングルサインオン(SSO)の主な利点はどれですか?

  1. 各システムに対して異なるパスワードを使う必要がある
  2. 一度のログインで複数のシステムにアクセスできる
  3. 認証情報の変更が頻繁に必要である
%%replace6%%

正解
2. 一度のログインで複数のシステムにアクセスできる

解説
シングルサインオン(SSO)は一度のログインで複数のシステムにアクセスできることが主な利点です。

ユーザーは異なるパスワードを覚える必要がなく利便性が大幅に向上します。認証情報の変更が頻繁に必要なわけではなく、SSOはユーザー体験を向上させるために設計されています。業務効率が改善され、セキュリティ管理が簡素化されます。

問題
シングルサインオンの欠点として適切なものはどれですか?

  1. 全てのシステムが一つの認証情報に依存するため、セキュリティのリスクが集中する
  2. 各システムへのログインに時間がかかる
  3. ユーザーごとに異なるログイン手順が必要である
%%replace6%%

正解

  1. 全てのシステムが一つの認証情報に依存するため、セキュリティのリスクが集中する

解説
シングルサインオンは全てのシステムが一つの認証情報に依存するため、セキュリティのリスクが集中します。もし認証情報が漏洩すると、すべてのシステムへの不正アクセスが可能になる可能性があります。

しかし、各システムへのログインに時間がかかることはなく、ユーザーごとに異なるログイン手順が必要なわけでもありません。SSOのセキュリティには特別な注意が必要です。

問題
シングルサインオンを導入する際に必要な考慮点として適切でないものはどれですか?

  1. 各システム間の認証プロトコルの統一
  2. SSOサーバーの高可用性の確保
  3. 複数のパスワードを管理するためのポリシー策定
%%replace6%%

正解
3. 複数のパスワードを管理するためのポリシー策定

解説
シングルサインオンの導入には各システム間の認証プロトコルの統一やSSOサーバーの高可用性の確保が必要です。

しかし、複数のパスワードを管理するためのポリシー策定は必要ありません。SSOは複数のパスワードを不要にすることで、セキュリティと利便性を向上させシステム全体の運用がシンプルになります。

テクノロジ系【学習問題】
見出し