平成26年度 秋期 ITパスポート試験 公開問題 問51 解説 乱数表による認証

この問題は、認証方式の仕組みを理解することで簡単に解けます。乱数表を使った認証では、システムから毎回異なる座標（例: B1やC2など）が提示されます。利用者はその座標に書かれた数字を入力します。一度使った数字は次回には使われないため、攻撃者に通信内容を盗聴されても、次に同じコードが使われることはなく、なりすましを防ぐことができます。

乱数表による認証の仕組み

この方式は、ワンタイムパスワードの一種です。パスワードが固定されている場合、それを盗聴されると第三者がいつでもログインできてしまいますが、この方式では毎回必要な数字が変化します。

問題文にある各選択肢を検討してみましょう。

アについて：乱数表上の座標が同じであれば、そこに記載されている数字は固定（例：B1なら必ず24）されているため、パスワードは同じになります。 イについて：これは「所持」による認証です。「知識（本人しか知らない情報）」ではなく、「所持（本人しか持っていない乱数表という物）」を根拠としているため、誤りです。 ウについて：正解です。一度しか使わない（あるいは毎回変化する）パスワードを用いるため、盗聴による不正アクセスを防止できます。 エについて：乱数表は本人であることを証明するための重要な「所持物」です。これを他人に渡せば、誰でもなりすましが可能になるため、極めて危険です。

認証の3要素を理解する

情報セキュリティにおいて、本人認証の要素は大きく3つに分類されます。ITパスポート試験でも頻出の知識です。

1. 知識認証：パスワードや暗証番号、秘密の質問など、本人が知っている情報。
2. 所持認証：キャッシュカード、乱数表、ICカード、スマホのワンタイムアプリなど、本人が持っているもの。
3. 生体認証：指紋、顔、虹彩など、本人の身体的特徴。

今回の問題は、所持認証の中でも、使い捨てのパスワードを生成する仕組みを理解しているかを問うています。

実社会での活用

乱数表は、かつて銀行のオンラインバンキングや企業のシステムログインでよく利用されていました。現在はより利便性が高く、安全な「スマートフォンアプリを使ったワンタイムパスワード」や「プッシュ通知による承認」に置き換わりつつあります。

しかし、仕組みの根本にある「一度限り有効なコードを使う」という考え方は、現在主流の二要素認証（2FA）や多要素認証（MFA）にも脈々と受け継がれています。システムを守る側の視点に立つと、固定的なパスワードの脆弱性を補うために、どのような工夫が必要かを考える良い例題といえます。

参考リンク

• 【ITパスポート】認証方式（パスワード、ワンタイムパスワード、生体認証など）をわかりやすく解説
• ワンタイムパスワードの仕組みをPythonでシミュレーションしてみる（Qiita）
• 認証技術の基礎：本人認証の3要素について（IPA情報処理推進機構）