中小企業診断士過去問
令和6年度（2024年）
問178 (経営情報システム問17)

問題文

近年パスワードレス認証が普及してきた。パスワードレス認証の方法に関する記述として、最も適切なものはどれか。

付箋

付箋は自分だけが見れます（非公開です）。

このページは閲覧用ページです。
履歴を残すには、「新しく出題する（ここをクリック）」をご利用ください。

問題

中小企業診断士試験第1次試験経営情報システム令和6年度（2024年）問178（経営情報システム問17）（訂正依頼・報告はこちら）

近年パスワードレス認証が普及してきた。パスワードレス認証の方法に関する記述として、最も適切なものはどれか。

正解！素晴らしいです

残念...

パスキー認証に関する問題です。

パスキー認証とはパスワードに代わる認証情報で、Fast IDentity Online（FIDO）仕様というFIDOアライアンスによって規格策定されている技術をベースとしています。

FIDO認証は、生体認証（画面ロック解除）を行うことでWebサイトにログインするため、ユーザはSMSで送られる確認コードの受信を待ったりパスワードを覚えたりする必要はありません。

（以上、Yahoo! JAPAN Tech Blog「FIDO認証＆パスキー総復習（認証の仕組みやパスキー登場までの経緯）」から引用）

従来のFIDO認証では、デバイスの紛失やスマートフォンの機種変更など認証器が使えなくなると認証不可能となる問題がありました。この問題を解決するため、「FIDO認証資格情報（FIDOクレデンシャル）」をクラウド経由で同期し、複数のデバイスで利用できるようにする仕組みが考案されました。

（以上、大和総研「パスキー」から引用）

選択肢1. パスキー認証では、生体認証は用いられない。

冒頭の解説より、パスキー認証では生体認証が用いられます。

したがって、不適切な選択肢です。

選択肢2. パスキー認証では、複数のデバイス間で同じパスキー（FIDO認証資格情報）を用いることができる。

冒頭の解説より、パスキー認証では複数のデバイス間で同じパスキー（FIDO認証資格情報）を用いることができることは、パスキーに関する記述として最も適切であり正解の選択肢となります。

選択肢3. パスキー認証では、利用者の電話番号にワンタイムパスコードを通知して、そのコードを用いて認証する。

冒頭の解説より、利用者の電話番号にワンタイムパスコードを通知して、そのコードを用いて認証することではありません。

パスキー認証では、ユーザはSMSで送られる確認コードの受信を待つ必要はないため不適切な選択肢です。

選択肢4. パスキー認証とは、一度の認証で許可されている複数のサーバやアプリケーションを利用できる仕組みをいう。

一度の認証で許可されている複数のサーバやアプリケーションを利用できる仕組みは、シングルサインオンです。

したがって、不適切な選択肢です。

選択肢5. パスキー認証は、パスワード認証に比べてDoS攻撃への耐性がある。

パスキー認証は、パスワード認証に比べて情報漏えいやフィッシング詐欺による不正アクセスへの耐性があります。（従来のようにパスワードを設定する必要がなく、パスワードが漏えいすることを防止できるため）

DoS攻撃は、受信側のサーバに大量のトラフィックを送信してサーバをダウンさせることをいいます。パスキー認証によって受信側のサーバに大量のトラフィックが送信されることを防止できるわけではないため、不適切な選択肢です。

参考になった数1