基本情報技術者試験「電子証明書」の問題
O社のシステムは取引先の電子証明書を検証して通信相手を確認している。ある取引先で秘密鍵が漏えいし、証明書が有効期限内のまま失効処理された。O社が失効した証明書を相手として誤って信頼しないために、検証時に確認すべきことはどれか。
ア証明書に記された有効期間の開始と満了の日時を見て、現在の日時がその範囲に収まっているかを照合する。
イ証明書に書かれた組織名や所在地が取引先の登記上の正式名称と食い違っていないかを照合する。
ウ発行元の認証局が公開する取消情報に、当該の証明書が載っていないかを照会する。
エ証明書で用いられている鍵の長さが、現在推奨される強度の基準を満たしているかを照合する。
正解
ウ.発行元の認証局が公開する取消情報に、当該の証明書が載っていないかを照会する。
証明書は有効期限内であっても秘密鍵漏えい等で失効されることがある。認証局はその情報を失効リスト(CRL)やOCSPレスポンダで公開しており、検証時にこれらを照会して失効していないか確認しなければ、失効済みの証明書を有効と誤認してしまう。本件はまさに期限内失効であり、失効情報の確認が必須である。
?選択肢ごとの解説
ア ×有効期限の確認は期限切れは検出できるが、期限内に失効された証明書は有効と判断してしまい、本件を見抜けない。
イ ×組織名や所在地の一致確認は相手の同一性確認には役立つが、その証明書が失効しているか否かは判定できない。
ウ ○証明書は有効期限内であっても秘密鍵漏えい等で失効されることがある。認証局はその情報を失効リスト(CRL)やOCSPレスポンダで公開しており、検証時にこれらを照会して失効していないか確認しなければ、失効済みの証明書を有効と誤認してしまう。本件はまさに期限内失効であり、失効情報の確認が必須である。
エ ×鍵長の確認は暗号強度の評価であり、失効の有無とは無関係で、本件の漏えいによる失効を検出できない。
✎くわしく
証明書検証では『署名の正当性』『有効期限』『失効状態』『用途・名前の一致』を確認する。秘密鍵漏えい時は期限を待たず失効されるため、失効状態の確認(CRL/OCSP)が不可欠である。OCSPはリアルタイム照会、CRLは失効一覧の取得という違いがある。
✓本番での押さえどころ
試験のコツ
秘密鍵漏えい=期限内でも失効。失効確認はCRLまたはOCSP。有効期限の確認だけでは不十分。
覚え方
期限内でも『取消』はある。クレジットカードの利用停止リスト照会(CRL/OCSP)と同じ発想。
よくある誤り
『有効期限内なら有効』と考え、失効状態の確認を省く。期限内失効という仕組みの存在を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0039