令和4年度 ITパスポート試験 公開問題 問82 解説 二要素認証
問82 A 社では,従業員の利用者 ID とパスワードを用いて社内システムの利用者認証を行っている。セキュリティを強化するために,このシステムに新たな認証機能を一つ追加することにした。認証機能 a ~ c のうち,このシステムに追加することによって,二要素認証になる機能だけを全て挙げたものはどれか。\n\na A 社の従業員証として本人に支給している IC カードを読み取る認証\nb あらかじめシステムに登録しておいた本人しか知らない秘密の質問に対する答えを入力させる認証\nc あらかじめシステムに登録しておいた本人の顔の特徴と,認証時にカメラで読み取った顔の特徴を照合する認証
- ア a
- イ a, b, c
- ウ a, c ✓ 正答
- エ b, c
解説
二要素認証を理解する鍵は、認証の要素を「知識」「所持」「生体」の3つに分類することです。既存のIDとパスワードは「知識」に該当するため、異なるカテゴリ(所持または生体)を組み合わせたものが二要素認証となります。
認証の3要素 認証には一般的に以下の3つの要素が用いられます。
- 知識情報:本人しか知らない情報(パスワード、PINコード、秘密の質問など)
- 所持情報:本人しか持っていないもの(ICカード、物理キー、スマートフォンなど)
- 生体情報:本人の身体的特徴(顔、指紋、静脈、虹彩など)
今回の問題では、すでに行われているIDとパスワードによる認証が「知識」にあたります。二要素認証とは、この3つの分類のうち、異なる2つの分類を組み合わせて本人確認を行う方式のことです。
各選択肢の検討 a:ICカードを読み取る認証は「所持」に分類されます。既存の「知識」とは異なる要素のため、追加すれば二要素認証になります。 b:秘密の質問への回答は、パスワードと同様に「知識」に分類されます。既存のID・パスワードと同じ要素の追加となるため、これは「二要素認証」ではなく、単なる「知識情報の多重化(二段階認証ではあるが二要素ではない)」にとどまります。 c:顔の特徴を照合する認証は「生体」に分類されます。これも「知識」とは異なる要素のため、追加すれば二要素認証になります。
したがって、aとcが正解となります。
実務と試験での応用 この知識は、単に用語を覚えるだけでなく、システムのセキュリティ設計を考える際にも重要です。例えば、パスワードが流出した際にも不正アクセスを防ぐには、「所持」や「生体」を組み合わせるのが有効です。ITパスポート試験では、「二段階認証」と「二要素認証」の違いが問われることもあります。前者は単純に認証のステップを2回踏むことを指し、後者は認証の要素(知識・所持・生体)を2つ組み合わせることを指すという違いを整理しておくと、応用問題にも対応しやすくなります。
- 日本ネットワークセキュリティ協会(JNSA):多要素認証の解説資料
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
