情報セキュリティ

基本情報技術者試験シングルサインオン」の問題

情報セキュリティ情報セキュリティ難易度:normal
J社はSSOを導入し、一度ログインすれば多数の業務システムに再認証なしでアクセスできる。共用エリアの端末で、ある社員がログインしたまま離席し、その間に別の者がその端末から複数の業務システムを操作する事象が起きた。SSO環境でのこの種の悪用を抑える運用上の対策として最も適切なものはどれか。
操作のない時間が続いたら画面を自動で施錠し、SSOのセッションも時間経過で失効させる。
SSOから使える業務システムを絞り込み、連携先を主要なものだけに限定する。
ログインに用いるパスワードを、より長く複雑なものへ変えるよう全社員へ促す。
システムごとに画面の配色やロゴを変え、今どれを操作中かを利用者が見分けやすくする。
正解
操作のない時間が続いたら画面を自動で施錠し、SSOのセッションも時間経過で失効させる。

SSOではログイン状態が多数のシステムへのアクセス権を一度に意味するため、ログインしたまま放置された端末は格好の標的になる。一定時間無操作で画面を自動ロックし、SSOセッション自体もタイムアウトで失効させれば、離席中に第三者が成りすまして操作する余地を直接断てる。原因(放置されたセッション)に対応した対策である。

?選択肢ごとの解説

ア ○SSOではログイン状態が多数のシステムへのアクセス権を一度に意味するため、ログインしたまま放置された端末は格好の標的になる。一定時間無操作で画面を自動ロックし、SSOセッション自体もタイムアウトで失効させれば、離席中に第三者が成りすまして操作する余地を直接断てる。原因(放置されたセッション)に対応した対策である。
イ ×連携システム数を減らしてもSSOの利便性目的を損なううえ、残ったシステムは依然として放置端末から操作可能であり、悪用の本質を解消しない。
ウ ×パスワードの強化は他者による推測・窃取への対策であり、既にログイン済みのセッションを離席中に使われる本問の脅威には効かない。
エ ×画面配色の変更は利用者の操作ミス防止には役立つが、第三者がセッションを悪用する行為そのものを抑止しない。

くわしく

SSOは認証の集約により利便性が高い反面、確立されたセッションの価値が極めて大きい。よって『セッションの寿命管理』が重要になる。無操作タイムアウト、画面ロック、必要に応じた再認証(重要操作前の再確認)で、放置や奪取によるセッション悪用の窓を最小化する。

本番での押さえどころ

試験のコツ

SSOで『ログイン放置されたセッションの悪用』が論点なら、自動画面ロック+セッションのタイムアウト失効が正解。

覚え方

SSOは『開きっぱなしが危ない』。席を立ったら自動で鍵がかかる(ロック・失効)。

よくある誤り

パスワード強度(ウ)などログイン段階の対策に目が行きがちだが、本問は認証済みセッションの悪用であり、対策はセッション管理側にある。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0070

【基本情報技術者試験】シングルサインオンの問題 — 解答・解説|ukamiru 過去問