基本情報技術者試験「多要素認証」の問題
M社の社外向けポータルは、IDとパスワードに加えて『秘密の質問』への回答を求めている。しかし利用者の回答内容がSNSや過去の漏えい情報から推測される事例が起きている。認証の強度を実質的に高めるための見直しとして、最も適切なものはどれか。
ア秘密の質問を廃し、利用者の端末で動くアプリが生成する使い捨ての数列を追加で入力させる。
イ秘密の質問を一問から三問へ増やし、すべて正答した場合に限ってログインを許可する。
ウ秘密の質問の回答に記号や数字を必ず混ぜるよう利用者へ義務付け、文字列を複雑にする。
エパスワードの最低文字数を引き上げたうえで、一定の期間ごとに必ず変更させる運用を加える。
正解
ア.秘密の質問を廃し、利用者の端末で動くアプリが生成する使い捨ての数列を追加で入力させる。
認証要素は『知識・所持・生体』に分類され、異なる種類を組み合わせて初めて多要素認証となる。秘密の質問もパスワードも同じ知識要素であり重ねても強度は本質的に上がらない。端末のアプリが都度生成する使い捨ての数列は所持要素であり、推測情報だけでは突破できないため、認証強度を実質的に高められる。
?選択肢ごとの解説
ア ○認証要素は『知識・所持・生体』に分類され、異なる種類を組み合わせて初めて多要素認証となる。秘密の質問もパスワードも同じ知識要素であり重ねても強度は本質的に上がらない。端末のアプリが都度生成する使い捨ての数列は所持要素であり、推測情報だけでは突破できないため、認証強度を実質的に高められる。
イ ×質問を増やしても全て知識要素であり、推測される性質は変わらず、異なる要素の追加にならないため強度の本質的向上にならない。
ウ ×回答の文字種を複雑にしても、SNSや漏えい情報から推測される根本問題は残り、知識要素の弱点を解消できない。
エ ×パスワードの強化は既存の知識要素を強めるだけで、推測されやすい秘密の質問という別経路の弱点を補えない。
✎くわしく
多要素認証の要点は『要素の種類が異なること』である。知識要素を何重に重ねても単要素認証の延長にすぎない。秘密の質問は公開情報や漏えいデータから推測されやすく、第二要素としての信頼性が低い点が近年問題視されている。
✓本番での押さえどころ
試験のコツ
多要素認証は『知識・所持・生体』のうち異なる種類の組合せが必須。同じ要素を重ねても多要素にならない。
覚え方
秘密の質問は『知っていること』、ワンタイムパスワードは『持っていること』。種類を変えて二重化。
よくある誤り
『質問を増やす=強くなる』『パスワードを強くすれば足りる』と考え、要素の種類という観点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0037