応用情報技術者試験 応用情報技術者試験 令和4年度春期 午前 問36: 複数のシステムやサービスの間で利用される SAML（Security Assertion Markup Language）はどれか。

問題本文

複数のシステムやサービスの間で利用される SAML（Security Assertion Markup Language）はどれか。

選択肢

• ア.システムの負荷や動作状況に関する情報を送信するための仕様
• イ.脆弱性に関する情報や脅威情報を交換するための仕様
• ウ.通信を暗号化し，VPN を実装するための仕様
• エ.認証や認可に関する情報を交換するための仕様

正解

エ. 認証や認可に関する情報を交換するための仕様

解説

SAML（Security Assertion Markup Language）は、認証された利用者の本人性（誰であるか）やアクセス権限（何が許可されているか）を、ドメインの異なるシステム間で安全にやり取りするための XML ベースの標準仕様である。これにより一度の認証で複数サービスを使えるシングルサインオン（SSO）などが実現できる。したがって、認証や認可に関する情報を交換するための仕様と述べるエが正しい。

選択肢ごとの解説

• ア.システムの負荷や稼働状況の情報を送る仕様は SNMP などの監視・管理用プロトコルに該当し、SAML ではない。
• イ.脆弱性や脅威の情報を交換する仕様は CVE／CVSS や STIX・TAXII などのセキュリティ情報共有の枠組みであり、SAML ではない。
• ウ.通信を暗号化して VPN を実装する仕様は IPsec などに該当し、SAML ではない。
• エ.正しい。SAML は認証・認可に関するアサーション（言明）を XML で表現してシステム間で交換する仕様で、SSO の基盤となる。