情報セキュリティ

基本情報技術者試験シングルサインオン」の問題

情報セキュリティ情報セキュリティ難易度:normal
D社は、社内の複数の業務システムへ一度の認証でアクセスできるシングルサインオン(SSO)を導入する。利便性は高まる一方、認証基盤に問題が起きると影響が広範囲に及ぶ懸念がある。SSO導入にあたり、この集約に伴うリスクを抑える対策として最も適切なものはどれか。
認証処理の負荷を下げるため、認証基盤でのログ取得は行わない構成とする。
各業務システムには個別のID・パスワードを残し、SSOは併用の補助手段にとどめる。
業務時間中は一度の認証でセッションを保持し続け、途中の再認証を不要とする。
認証時に複数の要素で本人を確かめ、認証基盤自体も冗長な構成で稼働を保つ。
正解
認証時に複数の要素で本人を確かめ、認証基盤自体も冗長な構成で稼働を保つ。

SSOは『認証の一点集約』が利点であると同時にリスクでもある。集約された入口が突破されれば全システムへ波及し、基盤が止まれば全システムにログインできなくなる。入口の認証を多要素にして突破難度を上げ、認証基盤を冗長構成にして可用性を確保すれば、機密性と可用性の両面から集約リスクを抑えられる。

?選択肢ごとの解説

ア ×ログ取得の停止は、集約された認証基盤での不正や障害の検知・追跡を不能にし、リスクを軽減するどころか拡大させる。
イ ×個別ID・パスワードを併用するとSSOの利便性とID管理一元化という導入目的を損ない、使い回しや管理漏れの温床を残してしまう。
ウ ×セッションを無期限維持すると、端末の放置やセッション奪取時に長時間悪用され、集約された強力なアクセス権の危険が増す。
エ ○SSOは『認証の一点集約』が利点であると同時にリスクでもある。集約された入口が突破されれば全システムへ波及し、基盤が止まれば全システムにログインできなくなる。入口の認証を多要素にして突破難度を上げ、認証基盤を冗長構成にして可用性を確保すれば、機密性と可用性の両面から集約リスクを抑えられる。

くわしく

SSOのリスクは『単一障害点(SPOF)』と『単一突破点』に集約される。前者は基盤の冗長化・可用性設計、後者は入口認証の強化(多要素)で対処する。利便性と引き換えに集約された価値が高まるため、入口の防御と可用性の双方を厚くするのが定石である。

本番での押さえどころ

試験のコツ

SSOの集約リスク対策は『入口を多要素で固める+基盤を冗長化する』。利便性優先の運用は逆にリスクを高める。

覚え方

SSOは『一つの鍵で全部開く』。だから鍵を多要素で厳重にし、鍵穴(基盤)を二重化する。

よくある誤り

利便性ばかりに注目し、無期限セッション(ウ)など利便性偏重の運用を選んでしまう。集約により入口の価値が跳ね上がる点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0064

【基本情報技術者試験】シングルサインオンの問題 — 解答・解説|ukamiru 過去問