基本情報技術者試験「フェデレーション認証」の問題
E社は、自社で管理する社員IDを使って外部のクラウドサービスへログインできるよう、SAMLによるフェデレーション認証を構成した。この仕組みにおける認証情報の扱いとして、正しいものはどれか。
ア外部クラウド側が各社員のパスワードを預かって保持し、ログインごとにそれと照合する。
イパスワード自体は外部へ送らず、自社が本人を認証した結果を証する署名付き情報を渡す。
ウ社員は外部サービスごとに新たなパスワードを登録し、自社IDとは切り離して別々に管理する。
エログインのたびに社員のパスワードを自社から外部サービスへ暗号化して送り届ける。
正解
イ.パスワード自体は外部へ送らず、自社が本人を認証した結果を証する署名付き情報を渡す。
SAMLフェデレーションでは、認証を担うアイデンティティプロバイダ(IdP=自社)が社員を認証し、その結果を署名付きのアサーションとしてサービスプロバイダ(外部クラウド)へ渡す。パスワードそのものは外部へ送られず、外部は自社の保証を信頼してアクセスを許可する。これが正しい仕組みである。
?選択肢ごとの解説
ア ×外部サービスがパスワードを預かって照合するのは個別認証であり、認証を自社IdPに委ねるフェデレーションの仕組みと矛盾する。
イ ○SAMLフェデレーションでは、認証を担うアイデンティティプロバイダ(IdP=自社)が社員を認証し、その結果を署名付きのアサーションとしてサービスプロバイダ(外部クラウド)へ渡す。パスワードそのものは外部へ送られず、外部は自社の保証を信頼してアクセスを許可する。これが正しい仕組みである。
ウ ×外部ごとに別パスワードを登録するのは連携しない従来方式であり、自社IDで横断的にログインするフェデレーションの目的に反する。
エ ×パスワードを毎回外部へ転送するのは誤りで、フェデレーションの利点はパスワードを外部に渡さず認証結果のみを連携する点にある。
✎くわしく
フェデレーション認証はIdPとSPの役割分担が核心である。IdPが認証し、SPは認証結果(アサーションやトークン)を信頼して認可する。パスワードがSP側に分散しないため、漏えい面の集約と管理一元化を両立できる。SAMLはXMLベース、OpenID ConnectはOAuth2.0基盤という違いがある。
✓本番での押さえどころ
試験のコツ
フェデレーション(SAML/OIDC)では、IdPが認証しSPへは署名付きの認証結果を渡す。パスワードはSPへ渡らない。
覚え方
自社が発行する『認証済みの紹介状(アサーション)』を外部に見せる。鍵(パスワード)は渡さない。
よくある誤り
『外部サービスにパスワードを預ける/送る』と誤解する。フェデレーションの肝は『パスワードを渡さず認証結果を渡す』点である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0065