情報セキュリティマネジメント試験 令和6年度 公開問題(過去問) 問5 について解説します。
問題
問5 リスクベース認証の説明として、適切なものはどれか。
ア 機器の画面に表示された点を正しい順序に一筆書きでなぞった場合、認証が成功し、機器のロックが解除される。
イ 通常とは異なるIPアドレス、Webブラウザなどから認証要求があった場合に、追加の認証を行う。
ウ 認証局が、Webサイトへのサーバ証明書発行において、サーバ証明書に記載される組織のドメイン利用権、法的及び物理的実在性を確認する。
エ ゆがんだ文字を含む画像を表示し、その文字が正しく入力された場合に認証が成功する。
解説・解答
リスクベース認証(Risk-Based Authentication:RBA)とは?
通常のログイン情報(ID・パスワード)に加え、ユーザーの行動や環境(例:IPアドレス、使用ブラウザ、時間帯、端末の種類など)を分析し、リスクが高いと判断された場合に追加認証(多要素認証など)を求める仕組みです。
・リスクが低いと判断された場合: 通常のログインのみでOK
・リスクが高いと判断された場合: 追加でワンタイムパスワードやセキュリティ質問などを要求
それぞれの選択肢について確認します。
ア: 機器の画面に表示された点を正しい順序に一筆書きでなぞった場合、認証が成功し、機器のロックが解除される。
これは「パターンロック認証」と呼ばれる認証方式の説明です。
・使用例: Androidスマートフォンなどの画面ロック
・仕組み: 利用者があらかじめ設定した点のなぞり順(パターン)を入力することで認証する。
・認証要素: 知識要素
この認証方式はアクセス時の環境やリスクに応じて変化するものではなく、毎回同じ方式で認証されます。これはリスクベース認証ではなく、誤りです。
イ: 通常とは異なるIPアドレス、Webブラウザなどから認証要求があった場合に、追加の認証を行う。
これがリスクベース認証の説明です。
(リスクベース認証の仕組み)
・ユーザーの行動パターン(いつも使う端末・IP・場所・時間帯など)を記録。
・ログイン時にそれらと照合して、通常と異なる状況(リスク)を検知。
・リスクがあると判断されたら、追加の多要素認証(ワンタイムパスワードやSMS認証など)を要求。
(使用例)
・Googleアカウントログイン: 新しい端末や場所からアクセスすると、確認メールやSMS認証を要求
・ネットバンキング: 深夜や海外からのアクセスに追加認証を要求
ウ: 認証局が、Webサイトへのサーバ証明書発行において、サーバ証明書に記載される組織のドメイン利用権、法的及び物理的実在性を確認する。
これは公開鍵基盤(PKI)と認証局(CA)の役割に関する説明です。ウェブサイトのSSL/TLS証明書を発行する際、認証局(CA)は、申請者が本当にそのドメインの正当な所有者か、組織として存在するかを検証します。特にOV(Organization Validation)証明書やEV(Extended Validation)証明書では、法的な組織情報や登記情報を確認します。これはWebサーバー側の信頼性を証明するための仕組みであり、ユーザー認証ではないためリスクベース認証とは無関係で、誤りです。
エ: ゆがんだ文字を含む画像を表示し、その文字が正しく入力された場合に認証が成功する。
これはCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)という仕組みの説明です。主に人間とボットを区別するために使われます。ゆがんだ文字や画像の中のオブジェクトを人間に読ませて入力させることで、ボットによる自動操作を防止します。サインアップフォーム、コメント投稿防止、チケット予約サイトの自動化対策などで使用されています。CAPTCHAは人間かどうかを判定する手段であり、リスクベース認証のように環境の変化に応じて追加認証を出す仕組みではないため、誤りです。
以上により、この問題の解答は「イ」になります。
