情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ 問2: SAML(Security Assertion Markup Language)の説明として,最も適切なものはどれか。
←情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ
SAML(Security Assertion Markup Language)の説明として,最も適切なものはどれか。
問題本文
SAML(Security Assertion Markup Language)の説明として,最も適切なものはどれか。
選択肢
- ア.Webサービスに関する情報を公開し,Webサービスが提供する機能などを検索可能にするための仕様
- イ.権限がない利用者による読取り,改ざんから電子メールを保護して送信するための仕様
- ウ.デジタル署名に使われる鍵情報を効率よく管理するためのWebサービスの仕様
- エ.認証情報に加え,属性情報と認可情報を異なるドメインに伝達するためのWebサービスの仕様
正解
エ. 認証情報に加え,属性情報と認可情報を異なるドメインに伝達するためのWebサービスの仕様
解説
SAMLは認証・認可情報をXMLで記述し、異なるドメイン(組織)間で安全に伝達するための仕様。IdP(認証側)が発行したアサーションをSP(サービス側)が信頼することで、シングルサインオン(SSO)を実現する。認証結果に加え属性・認可情報も運べる点が要点で、エが正解。実務ではクラウド連携やフェデレーションでの統合ID管理に広く使われる。
選択肢ごとの解説
- ア.Webサービスの機能を公開・検索可能にする仕様はUDDIの説明で、認証情報伝達を担うSAMLとは異なり誤り。
- イ.電子メールを保護して送る仕様はS/MIME等の説明であり、SAMLはメール暗号化の仕組みではないため誤り。
- ウ.鍵情報を管理するWebサービス仕様はXKMS等の説明で、SAMLの主目的である認証連携とは異なり誤り。
- エ.認証情報に加え属性・認可情報を異なるドメインへ伝達する仕様という記述がSAMLの本質で、これが正解。
情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ の過去問一覧へ戻る・問2