基本情報技術者試験「シングルサインオン」の問題
D社は、社内の複数の業務システムへ一度の認証でアクセスできるシングルサインオン(SSO)を導入する。利便性は高まる一方、認証基盤に問題が起きると影響が広範囲に及ぶ懸念がある。SSO導入にあたり、この集約に伴うリスクを抑える対策として最も適切なものはどれか。
ア認証処理の負荷を下げるため、認証基盤でのログ取得は行わない構成とする。
イ各業務システムには個別のID・パスワードを残し、SSOは併用の補助手段にとどめる。
ウ業務時間中は一度の認証でセッションを保持し続け、途中の再認証を不要とする。
エ認証時に複数の要素で本人を確かめ、認証基盤自体も冗長な構成で稼働を保つ。
正解
エ.認証時に複数の要素で本人を確かめ、認証基盤自体も冗長な構成で稼働を保つ。
SSOは『認証の一点集約』が利点であると同時にリスクでもある。集約された入口が突破されれば全システムへ波及し、基盤が止まれば全システムにログインできなくなる。入口の認証を多要素にして突破難度を上げ、認証基盤を冗長構成にして可用性を確保すれば、機密性と可用性の両面から集約リスクを抑えられる。
?選択肢ごとの解説
ア ×ログ取得の停止は、集約された認証基盤での不正や障害の検知・追跡を不能にし、リスクを軽減するどころか拡大させる。
イ ×個別ID・パスワードを併用するとSSOの利便性とID管理一元化という導入目的を損ない、使い回しや管理漏れの温床を残してしまう。
ウ ×セッションを無期限維持すると、端末の放置やセッション奪取時に長時間悪用され、集約された強力なアクセス権の危険が増す。
エ ○SSOは『認証の一点集約』が利点であると同時にリスクでもある。集約された入口が突破されれば全システムへ波及し、基盤が止まれば全システムにログインできなくなる。入口の認証を多要素にして突破難度を上げ、認証基盤を冗長構成にして可用性を確保すれば、機密性と可用性の両面から集約リスクを抑えられる。
✎くわしく
SSOのリスクは『単一障害点(SPOF)』と『単一突破点』に集約される。前者は基盤の冗長化・可用性設計、後者は入口認証の強化(多要素)で対処する。利便性と引き換えに集約された価値が高まるため、入口の防御と可用性の双方を厚くするのが定石である。
✓本番での押さえどころ
試験のコツ
SSOの集約リスク対策は『入口を多要素で固める+基盤を冗長化する』。利便性優先の運用は逆にリスクを高める。
覚え方
SSOは『一つの鍵で全部開く』。だから鍵を多要素で厳重にし、鍵穴(基盤)を二重化する。
よくある誤り
利便性ばかりに注目し、無期限セッション(ウ)など利便性偏重の運用を選んでしまう。集約により入口の価値が跳ね上がる点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0064