情報セキュリティマネジメント試験 過去問解説
二要素認証とは?情報セキュリティマネジメント試験 平成28年度秋期 午前 問1を解説
情報セキュリティマネジメント試験 平成28年度秋期 午前 問1は、二要素認証に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
ICカードとPINを用いた利用者認証における適切な運用はどれか。
この問題の出題ポイント
- 二要素認証の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- アICカードによって個々の利用者が識別できるので,管理負荷を軽減するために全利用者に共通のPINを設定する。
- イICカード紛失時には,新たなICカードを発行し,PINを再設定した後で,紛失したICカードの失効処理を行う。
- ウPINには,ICカードの表面に刻印してある数字情報を組み合わせたものを設定する。
- エPINは,ICカードの配送には同封せず,別経路で利用者に知らせる。正解
正解
エ: PINは,ICカードの配送には同封せず,別経路で利用者に知らせる。
解説
ICカード(所持情報)とPIN(記憶情報)を組み合わせた二要素認証では,両者が同時に第三者の手に渡らないよう分離して管理することが安全運用の原則である。正解のエは,ICカードとPINを別経路で利用者に届けることで,配送経路の盗難・盗み見によって両方が同時に漏れる事態を防いでおり,二要素認証の利点を保つ適切な運用である。
なぜ他の選択肢が違うのか
ア
全利用者に共通のPINを設定すると,PINが漏れた際に全員が成りすまされ,本人ごとの識別という認証の目的が損なわれるため不適切。
イ
失効処理を後回しにすると,再発行までの間に紛失カードが悪用される危険があり,失効は紛失判明後すぐに行うべきなので運用順序として不適切。
ウ
カード表面の刻印情報からPINを推測できてしまい,カードを入手した者に容易に破られるため,PINは券面情報と無関係にすべきで不適切。
エ(正解)
PINをカードと同封せず別経路で通知すれば,配送途中で両方が同時に奪われる事態を防げるため,二要素認証として適切な運用である。
解き方の整理
二要素認証の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。