情報セキュリティマネジメント試験(SG)科目A対策 / 全10問
多要素認証(MFA)の説明として、最も適切なものはどれか。
多要素認証とは、知識(パスワード等)・所持(スマホやトークン等)・生体(指紋等)という種類の異なる認証要素を2つ以上組み合わせる方式で、これが正解です。同じ要素を複数使っても「多要素」とは呼ばず、強度は十分に上がりません。パスワードの定期変更や使い回しは認証要素の組み合わせとは無関係なので誤りです。
認証の3要素のうち「所持(Something you have)」に分類されるものはどれか。
認証の3要素は「知識(知っているもの)」「所持(持っているもの)」「生体(本人自身の特徴)」です。ICカードやスマートフォンは利用者が物理的に持っているため「所持」に当たり、これが正解です。指紋・虹彩・筆跡の癖は本人の身体や行動の特徴なので「生体」、パスワードは「知識」に分類されるため誤りです。
生体認証における本人拒否率(FRR)の説明として、適切なものはどれか。
FRR(本人拒否率)は、正規の本人なのに誤って拒否してしまう割合のことで、これが正解です。値が高いと正しい人が何度も弾かれ使い勝手が悪くなります。他人を本人と誤って受け入れる割合はFAR(他人受入率)で別の指標です。利用者数に対する不正者の割合や処理時間はFRRの定義ではないため誤りです。
生体認証の判定しきい値(照合基準)を厳しく(一致と判定しにくく)設定した場合に起きることとして、適切なものはどれか。
しきい値を厳しくすると一致と認めにくくなるため、他人を誤って受け入れるFARは下がる一方、本人まで弾かれやすくなりFRRは上がります。これが正解で、両者はトレードオフの関係にあります。両方同時に下げることはできず、無関係でもないため他の選択肢は誤りです。安全性と使い勝手のバランスを取って設定します。
ワンタイムパスワード(OTP)を用いる主な目的として、最も適切なものはどれか。
OTPは一定時間や一回限りで使い捨てになるパスワードで、たとえ通信を盗み見られても次回には使えないため、再利用による不正ログイン(リプレイ攻撃)を防げます。これが正解です。暗号化保存やパスワード記憶の省略はOTPの目的ではなく、一度のログインで複数サービスを使うのはSSOの説明なので誤りです。
シングルサインオン(SSO)の説明として、最も適切なものはどれか。
SSOは利用者が一度認証を受ければ、連携する複数のシステムへ再度ログインせずにアクセスできる仕組みで、これが正解です。利便性が高まる一方、その認証情報が漏れると影響範囲が広がる点に注意します。パスワードの共有や1日1回制限、文字の分割保管はSSOとは関係がないため誤りです。
リスクベース認証の説明として、最も適切なものはどれか。
リスクベース認証は、アクセス元の場所・端末・時間帯などを分析し、普段と違う不審なアクセスのときだけ追加認証(OTP等)を求める方式で、これが正解です。普段どおりなら追加認証を省き利便性を保てます。常に同じ追加認証を課す方式や、アカウント削除、課金とは関係がないため他は誤りです。
Webサイトで利用されるCAPTCHAの主な目的として、適切なものはどれか。
CAPTCHAは、ゆがんだ文字の入力や画像選択などを通じて、操作者が人間か自動プログラム(ボット)かを見分ける仕組みで、これが正解です。総当たり攻撃や不正な大量登録の防止に役立ちます。パスワードの暗号化、通信の暗号化、ログ保存はそれぞれ別の技術であり、CAPTCHAの目的ではないため誤りです。
RBAC(ロールベースアクセス制御)の説明として、最も適切なものはどれか。
RBACは「経理」「営業」などの役割(ロール)ごとに必要な権限をまとめ、利用者にロールを割り当てることで権限を管理する方式で、これが正解です。人事異動時もロールの付け替えで済み管理が効率的です。個別割当ては管理が煩雑、全員に管理者権限は危険、作成者が自由に設定するのはDAC(任意アクセス制御)なので誤りです。
情報セキュリティにおける「認証」と「認可」の違いの説明として、最も適切なものはどれか。
認証(Authentication)は「あなたは誰か」を確認する本人確認、認可(Authorization)は確認できた相手に「どの操作・資源の利用を許すか」を決めることで、これが正解です。両者は別概念で、認証の後に認可が行われます。役割を逆にした説明や同義とする説明、暗号化と結びつける説明はいずれも誤りです。