問題本文
ワンタイムパスワードを用いることによって防げることはどれか。
選択肢
- ア.通信経路上におけるパスワードの盗聴
- イ.不正侵入された場合の機密ファイルの改ざん
- ウ.不正プログラムによるウイルス感染
- エ.漏えいしたパスワードによる不正侵入
解説
正答はエ. ワンタイムパスワード (OTP) は一度限り使い捨てのパスワードで, 時間ベース (TOTP) やイベントベース (HOTP) でトークン・スマホアプリ・SMS等を介して生成される. 通常パスワードと比較して, 万一漏えいしても直後に無効化されるため漏えいパスワードによる不正侵入を防げる点が最大の効果. 一方, 通信経路上での盗聴対策はSSL/TLSの役割, 不正侵入後のファイル改ざんはアクセス制御の役割, ウイルス感染対策はマルウェア対策ソフトの役割で, OTPは認証強化に特化した対策で他のセキュリティ対策と組み合わせて使用する.
選択肢ごとの解説
- ア.通信経路上のパスワード盗聴対策はSSL/TLSによる通信暗号化が担う領域であり, ワンタイムパスワード自体は盗聴を防ぐ仕組みではない. OTPは認証の強化策で盗聴対策とは別の対策領域であるため不適切な選択肢で誤り. 試験頻出概念で確実な理解が必要となる選択肢.
- イ.不正侵入された場合の機密ファイル改ざん防止はアクセス制御・ファイル権限管理が担う領域であり, ワンタイムパスワードによる認証強化とは異なる対策. 侵入後の対策にはOTPは直接寄与しないため誤りで対策領域が違う. 試験頻出概念で確実な理解が必要となる選択肢.
- ウ.不正プログラムによるウイルス感染防止はマルウェア対策ソフトやセキュリティパッチが担う領域で, ワンタイムパスワードはユーザ認証の強化策. 感染対策とは別領域の対策のため問題文の趣旨に合わず誤りである. 試験頻出概念で確実な理解が必要となる選択肢.
- エ.漏えいしたパスワードによる不正侵入を防ぐのがワンタイムパスワードの本質的効果で問題文に完全合致する正答. 使い捨てのため漏えい後すぐ無効化され, リスト型攻撃やリプレイ攻撃にも有効な認証強化策である. 試験頻出概念で確実な理解が必要となる選択肢.
ITパスポート 2015年 (平成27年 春期) の過去問一覧へ戻る・問61