情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度秋期 午前 問1: ICカードとPINを用いた利用者認証における適切な運用はどれか。

問題本文

ICカードとPINを用いた利用者認証における適切な運用はどれか。

選択肢

• ア.ICカードによって個々の利用者が識別できるので，管理負荷を軽減するために全利用者に共通のPINを設定する。
• イ.ICカード紛失時には，新たなICカードを発行し，PINを再設定した後で，紛失したICカードの失効処理を行う。
• ウ.PINには，ICカードの表面に刻印してある数字情報を組み合わせたものを設定する。
• エ.PINは，ICカードの配送には同封せず，別経路で利用者に知らせる。

正解

エ. PINは，ICカードの配送には同封せず，別経路で利用者に知らせる。

解説

ICカード（所持情報）とPIN（記憶情報）を組み合わせた二要素認証では，両者が同時に第三者の手に渡らないよう分離して管理することが安全運用の原則である。正解のエは，ICカードとPINを別経路で利用者に届けることで，配送経路の盗難・盗み見によって両方が同時に漏れる事態を防いでおり，二要素認証の利点を保つ適切な運用である。

選択肢ごとの解説

• ア.全利用者に共通のPINを設定すると，PINが漏れた際に全員が成りすまされ，本人ごとの識別という認証の目的が損なわれるため不適切。
• イ.失効処理を後回しにすると，再発行までの間に紛失カードが悪用される危険があり，失効は紛失判明後すぐに行うべきなので運用順序として不適切。
• ウ.カード表面の刻印情報からPINを推測できてしまい，カードを入手した者に容易に破られるため，PINは券面情報と無関係にすべきで不適切。
• エ.PINをカードと同封せず別経路で通知すれば，配送途中で両方が同時に奪われる事態を防げるため，二要素認証として適切な運用である。