基本情報技術者試験「シングルサインオン」の問題
J社はSSOを導入し、一度ログインすれば多数の業務システムに再認証なしでアクセスできる。共用エリアの端末で、ある社員がログインしたまま離席し、その間に別の者がその端末から複数の業務システムを操作する事象が起きた。SSO環境でのこの種の悪用を抑える運用上の対策として最も適切なものはどれか。
ア操作のない時間が続いたら画面を自動で施錠し、SSOのセッションも時間経過で失効させる。
イSSOから使える業務システムを絞り込み、連携先を主要なものだけに限定する。
ウログインに用いるパスワードを、より長く複雑なものへ変えるよう全社員へ促す。
エシステムごとに画面の配色やロゴを変え、今どれを操作中かを利用者が見分けやすくする。
正解
ア.操作のない時間が続いたら画面を自動で施錠し、SSOのセッションも時間経過で失効させる。
SSOではログイン状態が多数のシステムへのアクセス権を一度に意味するため、ログインしたまま放置された端末は格好の標的になる。一定時間無操作で画面を自動ロックし、SSOセッション自体もタイムアウトで失効させれば、離席中に第三者が成りすまして操作する余地を直接断てる。原因(放置されたセッション)に対応した対策である。
?選択肢ごとの解説
ア ○SSOではログイン状態が多数のシステムへのアクセス権を一度に意味するため、ログインしたまま放置された端末は格好の標的になる。一定時間無操作で画面を自動ロックし、SSOセッション自体もタイムアウトで失効させれば、離席中に第三者が成りすまして操作する余地を直接断てる。原因(放置されたセッション)に対応した対策である。
イ ×連携システム数を減らしてもSSOの利便性目的を損なううえ、残ったシステムは依然として放置端末から操作可能であり、悪用の本質を解消しない。
ウ ×パスワードの強化は他者による推測・窃取への対策であり、既にログイン済みのセッションを離席中に使われる本問の脅威には効かない。
エ ×画面配色の変更は利用者の操作ミス防止には役立つが、第三者がセッションを悪用する行為そのものを抑止しない。
✎くわしく
SSOは認証の集約により利便性が高い反面、確立されたセッションの価値が極めて大きい。よって『セッションの寿命管理』が重要になる。無操作タイムアウト、画面ロック、必要に応じた再認証(重要操作前の再確認)で、放置や奪取によるセッション悪用の窓を最小化する。
✓本番での押さえどころ
試験のコツ
SSOで『ログイン放置されたセッションの悪用』が論点なら、自動画面ロック+セッションのタイムアウト失効が正解。
覚え方
SSOは『開きっぱなしが危ない』。席を立ったら自動で鍵がかかる(ロック・失効)。
よくある誤り
パスワード強度(ウ)などログイン段階の対策に目が行きがちだが、本問は認証済みセッションの悪用であり、対策はセッション管理側にある。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0070