HOME»基本情報技術者平成31年春期問題»午後問1
基本情報技術者過去問題 平成31年春期 午後問1
⇄問題文と設問を画面2分割で開く⇱問題PDF問1 情報セキュリティ
クラウドサービスの利用者認証に関する次の記述を読んで,設問1,2に答えよ。
A社では現在,Webベースの業務システムが複数稼働しており,それぞれが稼働するサーバ(以下,業務システムサーバという)を社内LANに設置している。A社のネットワーク構成を,図1に示す。
利用者は,業務システムを,社内LANに設置されたクライアントPCのWebブラウザから利用する。社外から社内LANへのリモートアクセスは禁止されている。業務システムの利用者認証は,A社認証サーバでの利用者IDとパスワード(以下,この二つを併せて利用者認証情報という)の検証によって行っており,シングルサインオンを実現している。
社内LANからインターネットを介した社外への通信は,クライアントPCからプロキシサーバを経由した,HTTP over TLS(以下,HTTPSという)による通信だけが,ファイアウォールによって許可されている。社外からインターネットを介した社内LANへの通信は,全てファイアウォールによって禁止されている。ファイアウォールの設定は,A社のセキュリティポリシーに基づき変更しないものとする。
〔クラウドサービスの利用者認証〕
このたびA社は,業務システムの一つである販売管理システムを,B社がインターネットを介して提供する販売管理サービス(以下,B社クラウドサービスという)に移行することにした。利用者認証に関しては,A社認証サーバとB社クラウドサービスを連携し,次の(1)~(3)を実現することにした。
WebブラウザとB社クラウドサービスとの間,及びWebブラウザとIdPとの間の通信には,HTTPSを用いる。IdPとA社認証サーバとの間の通信にはLDAPを用いる。
〔B社クラウドサービスが利用可能になるまでの処理の手順〕
A社の利用者が,利用者認証されていない状態で,B社クラウドサービスを利用しようとした場合に,利用可能になるまでの処理の手順を次の①~⑩に示す。
B社クラウドサービスが利用可能になるまでの処理の流れを,図2に示す。図2中の①~⑩は,処理の手順の①~⑩と対応している。
A社では現在,Webベースの業務システムが複数稼働しており,それぞれが稼働するサーバ(以下,業務システムサーバという)を社内LANに設置している。A社のネットワーク構成を,図1に示す。
社内LANからインターネットを介した社外への通信は,クライアントPCからプロキシサーバを経由した,HTTP over TLS(以下,HTTPSという)による通信だけが,ファイアウォールによって許可されている。社外からインターネットを介した社内LANへの通信は,全てファイアウォールによって禁止されている。ファイアウォールの設定は,A社のセキュリティポリシーに基づき変更しないものとする。
〔クラウドサービスの利用者認証〕
このたびA社は,業務システムの一つである販売管理システムを,B社がインターネットを介して提供する販売管理サービス(以下,B社クラウドサービスという)に移行することにした。利用者認証に関しては,A社認証サーバとB社クラウドサービスを連携し,次の(1)~(3)を実現することにした。
- B社クラウドサービスをシングルサインオンの対象とする。
- A社の利用者認証は,B社クラウドサービスについても,A社認証サーバで行う。
- 利用者が本人であることを確認するためにA社認証サーバで用いるaは,B社クラウドサービスには送信しない。
WebブラウザとB社クラウドサービスとの間,及びWebブラウザとIdPとの間の通信には,HTTPSを用いる。IdPとA社認証サーバとの間の通信にはLDAPを用いる。
〔B社クラウドサービスが利用可能になるまでの処理の手順〕
A社の利用者が,利用者認証されていない状態で,B社クラウドサービスを利用しようとした場合に,利用可能になるまでの処理の手順を次の①~⑩に示す。
- 利用者は,WebブラウザからB社クラウドサービスにアクセスの要求を送信する。
- B社クラウドサービスは,アクセスの要求をIdPに転送する指示(以下,転送指示という)を,Webブラウザに返信する。
- Webブラウザは,②の転送指示に従い,IdPにアクセスの要求を送信する。
- IdPは,利用者認証情報の入力画面をWebブラウザに返信する。
- 利用者は,Webブラウザで利用者認証情報を入力する。Webブラウザは,入力された利用者認証情報をIdPに送信する。
- IdPは,利用者認証情報をA社認証サーバに送信する。
- A社認証サーバは,利用者認証情報を検証し,認証結果をIdPに返信する。
- IdPは,認証結果が成功の場合に,認証済情報を発行し,当該情報のB社クラウドサービスへの転送指示とともに,Webブラウザに返信する。
- Webブラウザは,⑧の転送指示に従い,認証済情報をB社クラウドサービスに送信する。
- B社クラウドサービスは,認証済情報に基づいて,B社クラウドサービスの利用を許可し,操作画面をWebブラウザに返信する。
B社クラウドサービスが利用可能になるまでの処理の流れを,図2に示す。図2中の①~⑩は,処理の手順の①~⑩と対応している。
設問1
本文中の に入れる適切な答えを,解答群の中から選べ。
a,b,c に関する解答群
- PKI
- 改ざん
- 公開鍵
- サービス妨害
- 生体認証
- パスワード
- 秘密鍵
- 利用者ID
- 漏えい
解答選択欄
- a:
- b:
- c:
解答
- a=カ
- b=イ
- c=ウ
解説
〔aについて〕
aは、利用者本人であることを確認するためにA社認証サーバで用いているものです。A社認証サーバでは利用者IDとパスワードの組合せによって利用者認証を行っているので、aには利用者IDまたはパスワードのいずれかが入ります。
本文中に「IdPは,認証結果,認証有効期限及び利用者IDにデジタル署名を付加してから,…B社クラウドサービスに送信する」とあることから、認証プロセス中に利用者IDをB社クラウドサービスに送信する仕様になっていることがわかります。したがって、aにはもう一方のパスワードが入ります。
∴a=カ:パスワード
〔bについて〕
aは、デジタル署名を使って検証できるものが入ります。デジタル署名の機能は「改ざんの検知」と「送信者の正当性の確認」なので、文脈と選択肢から改ざんが適切とわかります。
∴b=イ:改ざん
〔cについて〕
デジタル署名の手順は以下の通りです。
本問では、A社IdPが認証済情報にデジタル署名を付加してから、B社クラウドサービスに送信する手順になっています。認証済情報に付されたデジタル署名はA社IdPの秘密鍵で暗号化されているので、B社クラウドサービス側で行うデジタル署名の検証には「IdPの公開鍵」が必要になります。したがって、B社クラウドサービスに登録しておくのはIdPの公開鍵です。
∴c=ウ:公開鍵
aは、利用者本人であることを確認するためにA社認証サーバで用いているものです。A社認証サーバでは利用者IDとパスワードの組合せによって利用者認証を行っているので、aには利用者IDまたはパスワードのいずれかが入ります。
本文中に「IdPは,認証結果,認証有効期限及び利用者IDにデジタル署名を付加してから,…B社クラウドサービスに送信する」とあることから、認証プロセス中に利用者IDをB社クラウドサービスに送信する仕様になっていることがわかります。したがって、aにはもう一方のパスワードが入ります。
∴a=カ:パスワード
〔bについて〕
aは、デジタル署名を使って検証できるものが入ります。デジタル署名の機能は「改ざんの検知」と「送信者の正当性の確認」なので、文脈と選択肢から改ざんが適切とわかります。
∴b=イ:改ざん
〔cについて〕
デジタル署名の手順は以下の通りです。
- 送信者は、平文をハッシュ関数で圧縮したメッセージダイジェストを送信者の秘密鍵で暗号化し、平文と一緒に送信します。
- 受信者は、受信したメッセージダイジェストを送信者の公開鍵で復号し、受信した平文をハッシュ関数で圧縮したものと比較します。
- 一つの平文からハッシュ関数によって生成されるメッセージダイジェストは常に同じになるため、送信者から送られてきたメッセージダイジェストと、受信側でハッシュ化したメッセージダイジェストが同じなら、通信内容が改ざんされていないことが証明されます。
∴c=ウ:公開鍵
設問2
次の記述中の に入れる適切な答えを,解答群の中から選べ。
B社クラウドサービスでは,接続元のIPアドレスをA社のものに限定する機能は提供されていない。しかし,他の業務システムと同様に,B社クラウドサービスを,社内LANからの利用に限定できる。
この理由は,dことが必要であるが,IdPを社内LANに設置するので,社外からB社クラウドサービスを利用しようとしても,図2中のeの送信で失敗し,利用者認証されないからである。
B社クラウドサービスでは,接続元のIPアドレスをA社のものに限定する機能は提供されていない。しかし,他の業務システムと同様に,B社クラウドサービスを,社内LANからの利用に限定できる。
この理由は,dことが必要であるが,IdPを社内LANに設置するので,社外からB社クラウドサービスを利用しようとしても,図2中のeの送信で失敗し,利用者認証されないからである。
d に関する解答群
- B社クラウドサービスが,IdPと直接通信する
- B社クラウドサービスが,利用者認証情報を検証し,Webブラウザに返信する
- IdPが,利用者に代わって,利用者認証情報をB社クラウドサービスに送信する
- Webブラウザが,IdPと通信する
e に関する解答群
- ①
- ③
- ⑤
- ⑥
- ⑩
解答選択欄
- d:
- e:
解答
- d=エ
- e=イ
解説
〔dについて〕
〔eについて〕
A社では、社外から社内LANへのリモートアクセスが禁止されています。また、社外からインターネットを介した社内LANへの通信は、全てファイアウォールによって禁止されています。これにより、各業務システムと通信できるのは社内LANのみに限定されています。
社外の端末からB社クラウドサービスを利用する場合を考えると、以下のようになります。
∴e=イ:③
- 図2のシーケンス図を見てもわかるように、B社クラウドサービスとIdPは直接通信を行うことはありません。
- 利用者認証情報(利用者IDとパスワード)を検証するのはA社認証サーバです。認証結果はA社IdPに返されます。
- IdPが生成した認証済情報は、Webブラウザへの転送指示を介してB社クラウドサービスに送信されます。
- 正しい。処理手順③~⑤及び⑧で、WebブラウザとIdPは直接通信します。これを無くしてB社クラウドサービスとのシングルサインオンは実現できません。
〔eについて〕
A社では、社外から社内LANへのリモートアクセスが禁止されています。また、社外からインターネットを介した社内LANへの通信は、全てファイアウォールによって禁止されています。これにより、各業務システムと通信できるのは社内LANのみに限定されています。
社外の端末からB社クラウドサービスを利用する場合を考えると、以下のようになります。
- 利用者は、WebブラウザからB社クラウドサービスにアクセスの要求を送信する。
→B社クラウドサービスでは、接続元のIPアドレスを制限していないので禁止されない。 - B社クラウドサービスは、アクセス要求をIdPに転送する指示を、Webブラウザに返信する。
- Webブラウザは、②の転送指示に従い、IdPにアクセスの要求を返信する。
→インターネットを介した社内LANへの通信となるので、ファイアウォールで遮断される。
∴e=イ:③