中小企業診断士の過去問 令和3年度（2021年） 経営情報システム 問11

1.誤り。生体認証は、顔や指紋などの生体情報を使って本人を識別する仕組みとなっています。

2.誤り。チャレンジレスポンス認証は、認証サーバから送られてくるデータ（チャレンジ）を元に、クライアントが持っているパスワードを組み合わせて演算処理を行い、ハッシュ値を認証サーバに「レスポンス」として返すことにより認証を行う方法のことです。主にワンタイムパスワード認証に用いられています。

3.誤り。二要素認証ではパスワードや秘密の質問などの知識認証と生体認証（指紋や顔）あるいは所有物認証（スマホやICカード）を組み合わせます。

4.正しい。

5.誤り。ワンタイムパスワードとは一定時間内に一度だけ使うことができる、使い捨てのパスワードです。従って、一度認証されても、利用する権限を持つ各サーバやアプリケーションでの認証は不要とはなりません。

これだけシステムを利用して仕事をしていると、セキュリティに関する対策は非常に重要な要素になってきます。単なる乗っ取りも影響範囲が取引先にまで及ぶことが考えられ、対策をきっちりと取ることが肝要です。当問題ではその入り口ともいえる、利用者認証の仕組みについてです。

１の生体認証は指紋や顔などから判断するものです。問題文のセキュリティトークンとは、認証の助けとなる物理的な装置（これをトークンと言います）を用いるものになります。ID、パスワードにプラスしてもう一つセキュリティ要素を追加する（二要素認証）という意味では、セキュリティトークンと生体認証は似ていますが、生体認証では体の一部を、セキュリティトークンでは物理的な機械等を用いる点で異なります。よって1の記述は誤りです。

２のチャレンジンレスポンス認証は従来のパスワードだけではネットワークで読み取られてしまう可能性があることへの対応として考えられました。認証する側が一時的に利用されるチャレンジと呼ばれる乱数を認証される側に送ります。認証される側は送られたチャレンジとパスワードを合体させ、再度認証する側に送って認証を受けるというものです。この場合、チャレンジとパスワードが合体するため、パスワードが何なのかはわからなくなっていますので、安全性が高まります。また、チャレンジはワンタイムになりますので、その点でもセキュリティが高まります。よって2の記述は誤りです。

3の二要素認証は、秘密の質問に限られるものでなく、生体認証などもありますので、3の記述は誤りとなります。

４のリスクベース認証は、ID、パスワード認証であれば漏洩時のリスクが高まり、多要素認証になるとユーザーの手間がかかってしまうという点をクリアする認証です。具体的にはログイン元の情報にリスクがある場合のみ多要素認証を行い、リスクがなければID、パスワード認証で行うというものです。リスクの判断はHTTPヘッダやCookieなどの情報から判断されます。その他IPアドレス、位置情報、登録デバイスなどといった要素からも判断する場合があります。利用の流れとしてはSMSなどでワンタイムパスワードが発行される場合などがあります。よってこの記述は正しいです。

5のワンタイムパスワードは一度しか使えなかったり、一定時間しか利用できないパスワードを用いた認証方法です。問題文の記述はシングルサインオンのことですので、記述は誤りです。

よって正解は4となります。