基本情報技術者試験「証明書の階層と相互認証」の問題
G社とH社は、それぞれ別の認証局が発行した電子証明書を社内で利用している。両社が相互に相手の証明書を信頼して安全に通信できるようにしたい。認証局の信頼構造に関する仕組みとして、最も適切なものはどれか。
ア両社の認証局が互いの認証局証明書に署名し合い、信頼の橋を架ける。
イ両社の利用者が、初回に受け取った相手の証明書を手動で受け入れる。
ウ両社で一つの共通鍵を決め、それを証明書の代わりに用いて通信する。
エ両社が相手の証明書の有効期限を延長し、失効するまで信頼を続ける。
正解
ア.両社の認証局が互いの認証局証明書に署名し合い、信頼の橋を架ける。
証明書の信頼は認証局を頂点とする階層構造で成り立つ。別々の認証局配下の証明書を相互に信頼するには、両認証局が互いの認証局証明書に署名し合う相互認証(クロス認証)を構築すればよい。これにより各社の利用者は信頼の連鎖(証明書パス)をたどって相手の証明書を検証できる。
?選択肢ごとの解説
ア ○証明書の信頼は認証局を頂点とする階層構造で成り立つ。別々の認証局配下の証明書を相互に信頼するには、両認証局が互いの認証局証明書に署名し合う相互認証(クロス認証)を構築すればよい。これにより各社の利用者は信頼の連鎖(証明書パス)をたどって相手の証明書を検証できる。
イ ×初回に受け取った証明書を手動で受け入れる方法は偽造を見抜けず、信頼の連鎖という検証可能な根拠に基づかないため安全な信頼確立とはいえない。
ウ ×共通鍵を証明書の代わりにする方法は本人性を第三者が保証する仕組みを欠き、鍵配送問題も残るため証明書の役割を果たせない。
エ ×有効期限の延長は証明書の発行主体(認証局)の信頼関係とは無関係で、相手の認証局を信頼する根拠を与えない。
✎くわしく
PKIでは認証局の階層と信頼関係が証明書検証の基盤となる。単一の上位認証局を共有しない別系統の証明書同士を信頼するには、相互認証で認証局間に信頼の橋を架ける必要がある。利用者は連鎖をたどって相手の正当性を機械的に検証できる。
✓本番での押さえどころ
試験のコツ
別の認証局配下の証明書を相互に信頼する仕組みは『相互認証(クロス認証)』。認証局同士が証明し合う点を押さえる。
覚え方
相互認証は『二つの組織が互いの身元保証人になる』。保証人の連鎖で相手を信頼できる。
よくある誤り
目視確認や鍵共有で代替できると考える。証明書の信頼が認証局の連鎖で機械検証される仕組みを理解していない。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0151