中小企業診断士 過去問
令和5年度 再試験(2023年)
問166 (経営情報システム 問19)
問題文
利用者を認証する仕組みに関する記述として、最も適切なものはどれか。
このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。
問題
中小企業診断士試験 第1次試験 経営情報システム 令和5年度 再試験(2023年) 問166(経営情報システム 問19) (訂正依頼・報告はこちら)
利用者を認証する仕組みに関する記述として、最も適切なものはどれか。
- 生体認証では、普段と異なる環境からログインする際、通常の認証に加えて合言葉などによって利用者を認証する。
- チャレンジレスポンス認証では、一度認証されれば、利用する権限を持つ各サーバやアプリケーションでの認証が不要となる。
- 二要素認証では、パスワードだけではなく指紋などの2つの要素を組み合わせることによって利用者を認証する。
- 秘密の質問による認証では、IDとパスワードに加えてセキュリティトークンによって利用者を認証する。
- リスクベース認証では、指紋認証、静脈認証、署名の速度や筆圧などによって利用者を認証する。
正解!素晴らしいです
残念...
この過去問の解説 (1件)
01
頻出の用語暗記と正しい理解が重要です。
【誤】
生体認証では指紋や顔認証などを利用しますが、環境に応じて合言葉を要求する仕組みは一般的ではありません。誤った説明です。
【誤】
チャレンジレスポンス認証は、サーバーが利用者にランダムなデータ(チャレンジ)を送り、それに対する適切なレスポンスを返すことで認証する方式です。
一度認証されればすべてのサービスにアクセスできるのは「シングルサインオン(SSO)」の特徴であり、チャレンジレスポンス認証の説明としては不適切です。
【正】
二要素認証(2FA: Two-Factor Authentication)は、異なる2つの認証要素を組み合わせることで、より強固な認証を実現します。
例えば、「パスワード」と「生体情報(指紋)」の組み合わせは、典型的な二要素認証の例です。
【誤】
秘密の質問による認証は、IDやパスワードに加えて、事前に設定した質問の回答を用いるものであり、セキュリティトークンは使用しません。
【誤】
リスクベース認証は、利用者のアクセス元のIPアドレス、デバイス、行動パターンなどを基にリスクを判定し、認証の強度を変える方式です。指紋認証や筆跡認証は生体認証の一部であり、リスクベース認証の説明としては不適切です。
1. 二要素認証(2FA: Two-Factor Authentication)
認証情報を 「知識情報」「所有情報」「生体情報」 の3種類に分類し、そのうち 異なる2つを組み合わせて認証 する方式。
例: パスワード(知識情報)+ 指紋認証(生体情報) など。
2. 生体認証
指紋認証、顔認証、虹彩認証、静脈認証など、利用者の生体的特徴を用いて認証する方式。
環境による影響を受ける場合がある(例: 指の乾燥、暗い場所での顔認証の失敗など)。
3. チャレンジレスポンス認証
サーバが「チャレンジ(ランダムな値)」を発行し、クライアントが適切な「レスポンス」を返すことで認証する方式。
例: パスワードをそのまま送らず、ハッシュ化して送る方式 など。シングルサインオン(SSO)とは異なる。
4. 秘密の質問による認証
事前に設定した質問(例: 「母親の旧姓」など)に正しく回答することで認証する方式。
多くのサービスでパスワードリセットの補助として利用される。
5. リスクベース認証(RBA: Risk-Based Authentication)
利用者のログインパターンや端末情報、IPアドレス、行動履歴などを分析し、通常と異なるアクセス時には追加認証を要求する方式。
例: 普段と違う場所やデバイスからのログイン時にSMS認証を求める。
参考になった数2
この解説の修正を提案する
前の問題(問165)へ
令和5年度 再試験(2023年) 問題一覧
次の問題(問167)へ