今回のテーマは、「リスクベース認証」である。
令和6年度 情報セキュリティマネジメント試験 公開問題 科目 A・B 問5
問5 リスクベース認証の説明として,適切なものはどれか。
ア 機器の画面に表示された点を正しい順序に一筆書きでなぞった場合,認証が成功し,機器のロックが解除される。
イ 通常とは異なる IP アドレス,Web ブラウザなどから認証要求があった場合に,追加の認証を行う。
ウ 認証局が,Web サイトへのサーバ証明書発行において,サーバ証明書に記載される組織のドメイン利用権,法的及び物理的実在性を確認する。
エ ゆがんだ文字を含む画像を表示し,その文字が正しく入力された場合に認証が成功する。
答えを確認する
正解は イ です。
【前提知識】
リスクベース認証
1 誤り。
パターン認証の説明である。
パターン認証の特徴
- 直感的な操作
パスワード(文字列)を覚えるよりも、図形や動きとして記憶しやすいため、スマートフォンなどのモバイル端末で広く採用されている。 - のぞき見攻撃(ショルダーハック)に弱い
指の動きが大きいため、背後から入力順序を盗み見られやすいという欠点がある。 - 汚れによるリスク
画面に残った指紋の跡(皮脂)を光に透かして見ることで、パターンを推測される可能性がある。
2 正しい。
リスクベース認証の仕組み
システムがログイン試行を検知した際、以下のような情報を普段の利用傾向と比較してリスクを判定する。
- IPアドレス: 海外や、普段とは異なる地域からのアクセス。
- デバイス・ブラウザ: 初めて使用する端末や、シークレットモードなど。
- 時間帯: 深夜など、普段活動しない時間。
判定の結果、「リスクが高い(普段と違う)」とみなされた場合、追加で秘密の質問やワンタイムパスワードなどの入力を求める。
3 誤り。
EV(Extended Validation)証明書の説明である。SSL/TLS証明書の中で最も厳格な審査を経て発行されるものである。
サーバ証明書の3つの認証レベル
審査の厳しさに応じて、大きく3つの段階に分かれています。
| 種類 | 審査内容(確認対象) | 特徴 |
| DV (Domain Validation) | ドメインの利用権のみ | 発行が早くて安価。個人サイト向け。 |
| OV (Organization Validation) | ドメイン利用権 + 組織の法的実在性 | 企業の実在性を証明。一般的な企業サイト向け。 |
| EV (Extended Validation) | ドメイン利用権 + 法的・物理的実在性 + 運営実態 | 最も信頼性が高い。 銀行や大手ECサイト向け。 |
4 誤り。
CAPTCHAの説明である。
「人間には判読できるが、コンピュータ(プログラム)には判読が難しい」という特性を利用して、操作しているのが人間かボット(自動プログラム)かを判別するための仕組みである。
CAPTCHAの主な目的と種類
- 主な目的
大量のスパム投稿の防止- パスワードリスト攻撃(総当たり攻撃)などの自動ログインの阻止
- チケットや限定商品の買い占め防止
- 進化するCAPTCHA
最近では、技術の進歩(AIによる画像認識精度の向上)に伴い、ゆがんだ文字以外の手法も増えている。
(ポイント)
試験(SG/FE)では、「チャレンジレスポンス認証」と混同しないよう注意が必要である。
チャレンジレスポンス
パスワードをネットワークに流さずに、計算によって「正しいパスワードを知っているか」を判定。
CAPTCHA
人間かボットかを判定。
コメント