応用情報技術者 2016年 秋期 午後 問01
生体認証システムの導入に関する次の記述を読んで、設問1~3に答えよ。
S社は、個人投資家を対象とした、従業員約200人の証券会社である。事務所では従業員に一人1台のPCが割り当てられている。社内ではディジタル証明書による認証は利用しておらず、全ての業務システムは従業員ID(以下、IDという)とパスワードでログインできるようになっている。S社では、システム管理者がIDを一括管理できるようにするために、ID管理システムを導入している。ID管理システムは、氏名などの個人情報とIDを関連付けており、認証サーバとしての役割も兼ねている。
業務システムには、出張手配や勤怠管理を行う総務システム、顧客との取引情報を管理する顧客管理システムなどがある。個別の顧客との取引情報は、その顧客を担当している従業員と直属の上司だけが閲覧することを許されている。
〔セキュリティインシデントの発生〕
ある従業員が担当している顧客の取引情報を、別の従業員が不正に入手して利用するというセキュリティインシデントが発生した。調査の結果、IDとパスワードの不適切な管理によって、IDとパスワードを不正利用されてしまったことが分かった。この事態を重く見たS社は、業務システムへの不正アクセスを防ぐために、セキュリティの強化を図ることにした。
〔不正アクセス予防策の実施〕
S社では、IDとパスワードのクラッキングや業務システムへの不正アクセスの対策として、予想される不正アクセスに対応する予防策を実施した。予防策は、実施されたことが確実に確認できるものに限定した。その抜粋を表1に示す。
対策を導入してから6か月経過した時点でセキュリティ監査を実施し、次の問題を確認した。
・パスワードを書いたメモ用紙をディスプレイに貼っている従業員がいる。
・パスワードを忘れた従業員に対する、システム管理者によるパスワード再発行業務の負荷が高まっている。
〔生体認証システムの導入〕
S社では、業務システムへの不正アクセスを防止するために、IDとパスワードによる認証以外の手段を用いた、新たな認証システムの導入を検討することにした。総務部では、新たな認証システムの導入に当たって、認証に必要な情報をシステム管理者側で一括管理できることと、導入コストが安価であることを基本方針とした。
導入担当となった総務部システム課のT君は、新たな認証システムの方式として、ICカード方式と生体認証方式を検討した。
基本方針に基づきT君が検討した認証方式を表2に示す。
T君は、導入コスト、新たな認証システムの運用に掛かる業務負荷の軽減、及びセキュリティ強化の契機となったセキュリティインシデントへの対応の観点から、指紋認証方式を採用することにした。
この方式の採用に当たり、氏名などの個人情報と指紋情報が同時に漏えいしないように、個人情報と指紋情報を物理的に分けた上で、一括管理を行う方針とする。
〔導入製品の決定〕
指紋認証には、次の2種類の方式がある。
・マニュ―シャ方式
皮膚が線状に隆起した隆線の分岐や終端部分の位置・種類・方向などの指紋特徴点(マニュ―シャ)を登録する。指紋特徴点だけでは元の指紋全体を再現できない。
・パターンマッチング方式
指紋全体をスキャンしてデータ化し、パターンマッチングする。
T君は、他社における指紋認証システム導入の事例を調査した。その結果、登録された指紋情報が漏えいすることや、他の目的で利用されることへの従業員の不安が大きいことが分かった。
T君は、万が一指紋情報が漏えいした場合でも①実害が少ないと考えて、マニュ―シャ方式を採用している製品を調査して、導入コストがほぼ同じ製品について比較検討した。その比較結果を表3に示す。
T君は、認証に必要な情報を一括管理するために、指紋情報がPC内に格納される製品を除外した。残った製品からdという理由とeという理由で、製品名fの製品を選択し、上司に報告した。
設問1:〔不正アクセス予防策の実施〕について、(1)、(2)に答えよ。
(1)表中のaに入れる最も適切な予防策を解答群の中から選び、記号で答えよ。
解答群
ア:業務システムとPCとの通信を暗号化する。
イ:直前のログイン記録を次回ログイン時に表示する。
ウ:パスワードを3回続けて間違えると、アカウントをロックする。
エ:ログインエラーが発生した日時を本人にメールで後日通知する。
模範解答
a:ウ
解説
解答の論理構成
- まず、表1には次の不正アクセス例が示されています。
― 「他の従業員が、ログインが成功するまでパスワードを変えて試行する。」
これは、いわゆるブルートフォース(総当たり)攻撃に該当します。 - ブルートフォース攻撃の基本的な対策は「一定回数連続して失敗したらアカウントを使用不能にする」ことです。
- 解答群を確認すると、該当する対策は
― 「ウ:パスワードを3回続けて間違えると、アカウントをロックする。」
だけであるため、aには「ウ」が最適となります。
誤りやすいポイント
- 「イ:直前のログイン記録を次回ログイン時に表示する」は不正利用の“事後検知”には効果がありますが、連続試行そのものを止める仕組みではありません。
- 「エ:ログインエラーが発生した日時を本人にメールで後日通知する」も事後的な周知であり、攻撃を即座に中断させる効果がありません。
- 「ア:業務システムとPCとの通信を暗号化する」は盗聴対策であり、パスワードを何度も試す行為の抑止には直結しません。
FAQ
Q: 連続失敗回数を「3回」にする根拠はありますか?
A: 組織のリスク許容度によりますが、3〜5回程度が一般的です。本問では解答群に「3回」が明示されているため、それを選択します。
A: 組織のリスク許容度によりますが、3〜5回程度が一般的です。本問では解答群に「3回」が明示されているため、それを選択します。
Q: アカウントロック後の復旧手続が煩雑になるのでは?
A: 事後プロセスは発生しますが、認証を突破されるリスクを減らす効果の方が大きいと判断されます。運用面ではロック解除を自己サービス化するなどの工夫で負荷を下げられます。
A: 事後プロセスは発生しますが、認証を突破されるリスクを減らす効果の方が大きいと判断されます。運用面ではロック解除を自己サービス化するなどの工夫で負荷を下げられます。
Q: 通信の暗号化は必要ないのですか?
A: 必要ですが、本設問の主題は「連続試行による不正ログインの防止」です。暗号化は別の脅威(盗聴や改ざん)への対策になります。
A: 必要ですが、本設問の主題は「連続試行による不正ログインの防止」です。暗号化は別の脅威(盗聴や改ざん)への対策になります。
関連キーワード: アカウントロック、ブルートフォース攻撃、認証、セキュリティポリシー
設問1:〔不正アクセス予防策の実施〕について、(1)、(2)に答えよ。
(2)表中のbに入れる適切な予防策を解答群の中から二つ選び、記号で答えよ。
解答群
ア:IDと同じ文字列をパスワードに含めることを禁止する。
イ:英字、数字、記号が混在する8字以上のパスワードを設定させる。
ウ:他人とのパスワードの共有を禁止する。
エ:パスワードのヒントを設定して、自分だけが知っている答えをパスワードの一部に使用させる。
模範解答
b:ア、イ
解説
解答の論理構成
-
攻撃シナリオの確認
表1で想定されている攻撃は「他の従業員がパスワードを類推して ID を使用する。」です。
これは、誕生日・ID など容易に推測できる文字列を使ったり、単純な語句を組み合わせたりすることでパスワードを当てる行為に該当します。 -
予防策の要件整理
類推を困難にするには
・推測しやすい文字列(例:ID と同じ文字列)の使用禁止
・複雑で長いパスワードの強制
が有効です。
これらは「推測(guess)」型攻撃を直接的に防ぎます。 -
解答群の適合性検討
ア:「IDと同じ文字列をパスワードに含めることを禁止する。」
→ID を手がかりにした推測を封じるので適合。
イ:「英字、数字、記号が混在する8字以上のパスワードを設定させる。」
→単純語句の組合せを避け、文字種を増やし総当たりや辞書攻撃を困難にするので適合。
ウ:「他人とのパスワードの共有を禁止する。」
→共有の禁止は漏えい経路対策であり“類推”対策ではない。
エ:「パスワードのヒントを設定して、自分だけが知っている答えをパスワードの一部に使用させる。」
→ヒントが漏れると逆に推測を助長する恐れがある。 -
結論
以上より、bに入る予防策は
ア、イ
となります。
誤りやすいポイント
- 「他人とのパスワードの共有を禁止する。」を選びがちですが、共有は“漏えい”問題であり“推測”問題とは別軸です。
- 「パスワードのヒント」を良策と誤解するケースがありますが、ヒントは攻撃者にも手掛かりを与えるリスクがあります。
- 文字種混在ルールを“総当たり対策”としか見ず“類推対策”効果を見落とすと失点につながります。
FAQ
Q: なぜ「英字、数字、記号が混在する8字以上」が推測対策になるのですか?
A: 誕生日や単語など単純な文字列ではなく複数種類の文字を含めることで、攻撃者が試す候補数が指数的に増え、実質的に推測を困難にできます。
A: 誕生日や単語など単純な文字列ではなく複数種類の文字を含めることで、攻撃者が試す候補数が指数的に増え、実質的に推測を困難にできます。
Q: ID を含める禁止だけでは不十分ですか?
A: ID 以外にも氏名や誕生日など推測しやすい情報があります。複雑さルールを組み合わせてはじめて高い防御効果が得られます。
A: ID 以外にも氏名や誕生日など推測しやすい情報があります。複雑さルールを組み合わせてはじめて高い防御効果が得られます。
Q: パスワードヒントを使っても攻撃者は分からないのでは?
A: ヒントは攻撃者も閲覧できる場合が多く、公開情報から推測できる内容だとリスクが高まります。推測系攻撃の対策としては推奨されません。
A: ヒントは攻撃者も閲覧できる場合が多く、公開情報から推測できる内容だとリスクが高まります。推測系攻撃の対策としては推奨されません。
関連キーワード: パスワードポリシー、辞書攻撃、総当たり攻撃、認証強度、利用者教育
設問2:
表2中のcに入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:LDAP
イ:PKI
ウ:SSL
エ:リバースプロキシ
模範解答
c:イ
解説
解答の論理構成
- 問題文では IC カード方式について、
「ICカードに埋め込んだ利用者の秘密鍵とPINコードで認証する。」とあります。
秘密鍵を利用して認証を行う場合、対応する公開鍵証明書の発行・失効・保管を行う基盤が必須です。 - さらに導入時の注意事項として
「新たにcの導入が必要となる。」と指摘されています。 - 公開鍵証明書を運用する仕組みは Public Key Infrastructure、すなわち “PKI” です。
- 他の選択肢を確認すると、 ・「ア:LDAP」はディレクトリサービス、 ・「ウ:SSL」は通信の暗号化プロトコル、 ・「エ:リバースプロキシ」は中継サーバ、 であり、IC カード認証の前提とはなりません。
- 以上から、c には「イ:PKI」が最適となります。
誤りやすいポイント
- IC カードを使う=証明書と早合点して「ウ:SSL」を選ぶミス。SSL/TLS は通信経路を守る技術で、証明書の発行・管理基盤そのものではありません。
- 「ア:LDAP」は ID を検索・参照する仕組みなので “一括管理” というキーワードで誤選択しやすい点。
- IC カードリーダが必要と書かれているため、ハードウェアだけ意識して基盤の必要性を見落とすと間違えやすいです。
FAQ
Q: PKI がないと IC カード方式は動かないのですか?
A: 通常、IC カードに格納された秘密鍵と対になる公開鍵証明書を信頼させる必要があり、その発行・失効・保存を行う PKI が不可欠です。
A: 通常、IC カードに格納された秘密鍵と対になる公開鍵証明書を信頼させる必要があり、その発行・失効・保存を行う PKI が不可欠です。
Q: LDAP と PKI は同時に導入することもありますか?
A: あります。LDAP で証明書や利用者属性を配布し、PKI で証明書を発行・失効管理するという組み合わせが一般的です。
A: あります。LDAP で証明書や利用者属性を配布し、PKI で証明書を発行・失効管理するという組み合わせが一般的です。
Q: SSL/TLS 証明書も PKI で管理されるのですか?
A: はい。SSL/TLS で用いるサーバ証明書やクライアント証明書も、根底では PKI によって発行・運用されています。
A: はい。SSL/TLS で用いるサーバ証明書やクライアント証明書も、根底では PKI によって発行・運用されています。
関連キーワード: 公開鍵基盤、デジタル証明書、秘密鍵、ICカード、認証
設問3:〔導入製品の決定〕について、(1)、(2)に答えよ。
(1)本文中の下線①で、マニューシャ方式は実害が少ないとT君が考えた理由を、その特徴に着目して25字以内で述べよ。
模範解答
漏えいしても元の指紋全体を再現できないから
解説
解答の論理構成
- 受験者が導くべき根拠は、マニュ―シャ方式の説明に含まれる
「指紋特徴点だけでは元の指紋全体を再現できない。」
という一文です。 - 本文では、従業員が「登録された指紋情報が漏えいすることや、他の目的で利用されることへの…不安が大きい」と指摘されています。
- そこでT君は「①実害が少ないと考えて」マニュ―シャ方式を選択しました。
- 上記①の理由は、引用①が示す“再現できない”点に尽きます。
- よって解答は「漏えいしても元の指紋全体を再現できないから」となります。
誤りやすいポイント
- 「パターンマッチング方式はスキャン画像を格納するので漏えい時の危険が高い」→本問の理由はマニュ―シャ方式側の“低危険性”を述べる点に注意。
- 「本人拒否率が高い/低い」を理由に挙げてしまうミス。ここでは指紋情報漏えい時の実害について問われています。
- 「指紋データを変更できないから危険」と逆の主張を書いてしまうケース。マニュ―シャ方式は“危険が小さい”と評価することが設問の前提です。
FAQ
Q: マニュ―シャ方式はどこが安全なのですか?
A: 本文にあるように「指紋特徴点だけでは元の指紋全体を再現できない。」ため、仮に漏えいしても指紋そのものを複製されにくい点が安全と評価されます。
A: 本文にあるように「指紋特徴点だけでは元の指紋全体を再現できない。」ため、仮に漏えいしても指紋そのものを複製されにくい点が安全と評価されます。
Q: パターンマッチング方式は採用候補にならなかったのですか?
A: パターンマッチング方式は指紋全体をスキャンして保持するため、漏えい時に“本物の指紋画像”が流出するリスクが高く、従業員の不安の解消という目的にそぐわなかったと考えられます。
A: パターンマッチング方式は指紋全体をスキャンして保持するため、漏えい時に“本物の指紋画像”が流出するリスクが高く、従業員の不安の解消という目的にそぐわなかったと考えられます。
Q: マニュ―シャ方式でも他人受入率は十分低いのですか?
A: 多くの製品で他人受入率は0.0001以下など非常に低い値を実現しており、セキュリティ要求を満たす範囲で実用的です。具体的な値は表3に示されています。
A: 多くの製品で他人受入率は0.0001以下など非常に低い値を実現しており、セキュリティ要求を満たす範囲で実用的です。具体的な値は表3に示されています。
関連キーワード: 指紋認証、マニュ―シャ、生体情報漏えい、再現性、セキュリティ設計
設問3:〔導入製品の決定〕について、(1)、(2)に答えよ。
(2)本文中のd、eに入れる適切な理由を、それぞれ30字以内で述べよ。また、fに入れる適切な製品名を、A〜Eの中から選んで答えよ(dとeは順不同)。
模範解答
d:個人情報と指紋情報を物理的に分けて管理できる
e:誤って他人を本人と認識する確率が低い
f:B
解説
解答の論理構成
- 方針の再確認
【問題文】に「氏名などの個人情報と指紋情報が同時に漏えいしないように、個人情報と指紋情報を物理的に分けた上で、一括管理を行う方針とする。」とある。したがって、指紋情報は既存の認証サーバなど PC とは別の場所に置ける製品が必須です。 - 候補製品の絞り込み
同文に「指紋情報がPC内に格納される製品を除外した。」と記載されているので、表3で「指紋情報の格納場所」が「PC内」の製品 A と C は除外されます。残るのは B・D・E です。 - 安全性(他人受入率)の比較
表2には「誤って他人を本人と認識する確率(以下、他人受入率という)…いずれもできるだけ低いことが望ましい。」とある。表3で残った3製品の他人受入率は、 • B: 0.00001
• D: 0.00009
• E: 0.00001
よって最も低い値は「0.00001」です。 - 採択理由の整理
①「個人情報と指紋情報を物理的に分けて管理できる」→格納場所が「専用の認証サーバ内」または「従来の認証サーバ内の拡張領域」であること。
②「誤って他人を本人と認識する確率が低い」→他人受入率が最小。 - 最終選定
残った3製品のうち、①を満たすのは B・D・E、②を最小値で満たすのは B・E。ただし E は「従来の認証サーバ内の拡張領域」で本人拒否率が 0.007 と高め。一方 B は「専用の認証サーバ内」で本人拒否率 0.002 と表2の“バランスを考慮”要件も良好。以上より製品「B」が選択されます。
誤りやすいポイント
- 「他人受入率」だけを見て E を選び、本人拒否率のバランス要求を忘れる。
- 「物理的に分けて管理」の意味を誤解し、PC 内保存の A・C を残してしまう。
- 「専用の認証サーバ内」と「従来の認証サーバ内の拡張領域」を同等と見なし、方針の“一括管理”に適合しないと判断し損ねる。
FAQ
Q: 他人受入率と本人拒否率、どちらを優先すべきですか?
A: 本文は「他人受入率が低い製品を選ぶと、本人拒否率は高くなる傾向にあるので、両者のバランスを考慮」と示しており、極端な値より運用上のバランスが重要です。
A: 本文は「他人受入率が低い製品を選ぶと、本人拒否率は高くなる傾向にあるので、両者のバランスを考慮」と示しており、極端な値より運用上のバランスが重要です。
Q: 「従来の認証サーバ内の拡張領域」は方針違反になりますか?
A: 方針は“物理的に分けて管理”と“一括管理”の両立が条件です。従来サーバを拡張すると“分けて”管理しているとは言い難く、専用サーバの方が適合度は高いです。
A: 方針は“物理的に分けて管理”と“一括管理”の両立が条件です。従来サーバを拡張すると“分けて”管理しているとは言い難く、専用サーバの方が適合度は高いです。
Q: PC 内格納でも暗号化していれば許容できませんか?
A: 本文に「指紋情報がPC内に格納される製品を除外した。」と明記されており、暗号化の有無に関係なく方針外となります。
A: 本文に「指紋情報がPC内に格納される製品を除外した。」と明記されており、暗号化の有無に関係なく方針外となります。
関連キーワード: 生体認証、指紋認証、他人受入率、本人拒否率、認証サーバ
