情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ 問16: OAuth 2.0 に関する記述のうち,適切なものはどれか。
←情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ
OAuth 2.0 に関する記述のうち,適切なものはどれか。
問題本文
OAuth 2.0 に関する記述のうち,適切なものはどれか。
選択肢
- ア.認可を行うためのプロトコルであり,認可サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
- イ.認可を行うためのプロトコルであり,認可サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
- ウ.認証を行うためのプロトコルであり,認証サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
- エ.認証を行うためのプロトコルであり,認証サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
正解
イ. 認可を行うためのプロトコルであり,認可サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
解説
OAuth 2.0は認可(アクセス権限の委譲)のためのプロトコル。リソースオーナーの許可を得て、クライアント(サービス)にリソースへアクセスするためのアクセストークンを発行する仕組みで、本人確認の認証そのものは主目的ではない。イがこの認可の役割を正しく述べ正解。実務ではAPI連携の権限委譲に広く使われ、認証にはOpenID Connectを重ねて用いる。
選択肢ごとの解説
- ア.認可プロトコルである点は正しいが、本人確認(認証)が目的という説明部分が誤り。
- イ.認可プロトコルとして本人の許可を得てクライアントに権限を付与する、OAuthの役割で正解。
- ウ.OAuthは認可のためのプロトコルであり、認証プロトコルと位置付ける記述が誤り。
- エ.権限付与の説明は近いが、OAuthを認証プロトコルとする位置付けが誤りである。
情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ の過去問一覧へ戻る・問16