情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ 問17: OAuth 2.0において，WebサービスAの利用者Cが，WebサービスBにリソースDを所有している。利用者Cの承認の下，WebサービスAが，リソースDへの限定

問題本文

OAuth 2.0において，WebサービスAの利用者Cが，WebサービスBにリソースDを所有している。利用者Cの承認の下，WebサービスAが，リソースDへの限定的なアクセス権限を取得するときのプロトコルOAuth 2.0の動作はどれか。

選択肢

• ア.WebサービスAが，アクセストークンを発行する。
• イ.WebサービスAが，利用者Cのディジタル証明書をWebサービスBに送信する。
• ウ.WebサービスBが，アクセストークンを発行する。
• エ.WebサービスBが，利用者Cのディジタル証明書をWebサービスAに送信する。

正解

ウ. WebサービスBが，アクセストークンを発行する。

解説

OAuth 2.0は、利用者の認可の下、あるサービス(クライアント)が別サービスの保護リソースへ限定的にアクセスする権限委譲の枠組み。リソースを保有する側(リソースサーバ/認可サーバ)であるWebサービスBがアクセストークンを発行し、Webサービスはそれを使ってアクセスする。よってウが正しい。実務ではパスワードを渡さずトークンで権限を限定でき、漏えい時の被害も限定される。

選択肢ごとの解説

• ア.アクセス権限を委譲される側のWebサービスAはトークンを受け取る側で、発行はしないため誤り。
• イ.OAuth 2.0はトークンベースの認可で、利用者の証明書を送る方式ではなく記述が誤り。
• ウ.リソースDを持つ側のWebサービスB(認可サーバ)がアクセストークンを発行する点が正解。
• エ.OAuthでディジタル証明書を相手へ送る動作は規定されておらず、この記述は誤り。