平成28年度 春期 ITパスポート試験 問90 解説 認証情報の更新

認証情報の「変更・更新」が定期的に必要かどうかを判断する基準は、その情報が「本人の身体的特徴」か、「外部から付与された証明書」か、「本人が任意に決めた文字列」かという点にあります。

この問題の正解は エ です。aの虹彩認証は本人の生体情報そのものを用いるため、変わることがありません。bの電子証明書は有効期限が設定されており、更新手続きは必要ですが、これはパスワードのように「情報が漏えいするリスクを避けるために定期的に内容を書き換える」性質のものではありません。一方で、cのパスワード認証は、推測や漏えい対策として「定期的な変更」が長年推奨されてきた歴史があります（現在は複雑さの維持がより重視されますが、試験の文脈では変更が必要なものとして扱われます）。

生体認証の不変性

虹彩認証に代表される生体認証は、指紋、静脈、顔など、個人の身体的な特徴を利用します。これらは自分自身の体の一部であり、意識的に変更することができません。逆に言えば、他人に盗まれたり忘れたりすることがないため、変更の必要もありません。ITパスポート試験では、生体認証＝「変更不要で本人確認の確実性が高い認証方式」とセットで覚えておくのが定石です。

電子証明書の役割

電子証明書は、信頼できる第三者機関（認証局）が「その人が本人であること」を証明するデジタルデータです。有効期限が来れば更新が必要ですが、これはパスワードのような「秘密の文字列を自分自身で定期的に入れ替える作業」とは異なります。試験における「定期的な変更や更新」の文脈では、パスワードのように「情報が漏えいした際のリスクを下げるために随時入れ替える」ものとは区別して考えましょう。

パスワード管理の考え方

パスワード認証において定期的な変更が推奨されてきた理由は、万が一第三者に知られてしまった場合に、その情報を使い続けられる期間を制限するためでした。ただし、近年では「頻繁な変更を強いることで、ユーザーが覚えやすい簡単なパスワードを設定したり、使い回しをしたりするリスク」が指摘されるようになっています。そのため、現在は「複雑で長いパスワードを設定し、使い回しをしない」ことが重要視されていますが、試験問題としては「パスワードは定期的に変更すべきもの」という従来の方針が依然としてベースになっています。

この問題は、各認証方式の仕組みを理解することで、それぞれの情報の性質と管理コストの違いを整理するためのものです。実際の現場でも、利便性とセキュリティ強度のバランスを考える際に非常に重要な判断基準となります。

参考リンク

• ITパスポート試験の認証方式（パスワード認証・生体認証など）の解説
• パスワードの使い回し防止と管理の実践方法
• 電子署名と電子証明書に関する解説（総務省）