情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度春期 午前Ⅰ 問12: 3Dセキュア2.0(EMV 3-Dセキュア)は,オンラインショッピングにおけるクレジットカード決済時に,不正取引を防止するための本人認証サービスである。3Dセキ
←情報処理安全確保支援士試験 令和6年度春期 午前Ⅰ
3Dセキュア2.0(EMV 3-Dセキュア)は,オンラインショッピングにおけるクレジットカード決済時に,不正取引を防止するための本人認証サービスである。3Dセキュア2.0で利用される本人認証の特徴はどれか。
問題本文
3Dセキュア2.0(EMV 3-Dセキュア)は,オンラインショッピングにおけるクレジットカード決済時に,不正取引を防止するための本人認証サービスである。3Dセキュア2.0で利用される本人認証の特徴はどれか。
選択肢
- ア.利用者がカード会社による本人認証に用いるパスワードを忘れた場合でも,安全にパスワードを再発行することができる。
- イ.利用者の過去の取引履歴や決済に用いているデバイスの情報から不正利用や高リスクと判断される場合に,カード会社が追加の本人認証を行う。
- ウ.利用者の過去の取引履歴や決済に用いているデバイスの情報にかかわらず,カード会社がパスワードと生体認証を併用した本人認証を行う。
- エ.利用者の過去の取引履歴や決済に用いているデバイスの情報に加えて,操作しているのが人間であることを確認した上で,カード会社が追加の本人認証を行う。
正解
イ. 利用者の過去の取引履歴や決済に用いているデバイスの情報から不正利用や高リスクと判断される場合に,カード会社が追加の本人認証を行う。
解説
3Dセキュア2.0は、取引履歴やデバイス情報などのリスク要素を評価し、不正・高リスクと判断したときだけ追加認証(ワンタイムパスワード等)を求めるリスクベース認証を特徴とする。イが正しく正解。常時パスワード入力を強いた旧版の離脱問題を改善し、低リスク取引は摩擦なく通す。利便性とセキュリティを両立する設計思想が要点。
選択肢ごとの解説
- ア.パスワード再発行の安全性は本サービスの本質的特徴ではなく、論点がずれており誤り。
- イ.リスクが高いときだけ追加認証を行うリスクベース認証で、3Dセキュア2.0の特徴として正解。
- ウ.履歴やデバイスにかかわらず常に追加認証を行うとし、リスクベースの趣旨に反し誤り。
- エ.人間か否かの確認を必須要素とする記述はボット対策の話で、本サービスの特徴説明として誤り。
情報処理安全確保支援士試験 令和6年度春期 午前Ⅰ の過去問一覧へ戻る・問12