ホーム > 情報処理安全確保支援士試験 > 2009年 春期
情報処理安全確保支援士試験 2009年 春期 午前2 問03
シングルサインオンの説明のうち、適切なものはどれか。
ア:クッキーを使ったシングルサインオンの場合、サーバごとの認証情報を含んだクッキーをクライアントで生成し,各サーバ上で保存,管理する。
イ:クッキーを使ったシングルサインオンの場合、認証対象の各サーバを異なるインターネットドメインに配置する必要がある。
ウ:リバースプロキシを使ったシングルサインオンの場合、認証対象の各Webサーバをそれぞれ異なるインターネットドメインにする必要がある。
エ:リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。(正解)
解説
シングルサインオンの説明のうち、適切なものはどれか【午前2 解説】
要点まとめ
- 結論:リバースプロキシを使ったシングルサインオンでは、パスワードの代わりにディジタル証明書を用いることが可能です。
- 根拠:リバースプロキシは認証処理を一元化し、多様な認証方式をサポートできるため、証明書認証も利用できます。
- 差がつくポイント:クッキーの管理範囲やドメイン制約の理解と、リバースプロキシの役割や認証方式の柔軟性を正確に把握することが重要です。
正解の理由
選択肢エは、リバースプロキシを用いたシングルサインオン(SSO)において、パスワード認証だけでなくディジタル証明書を使った認証も可能である点を正しく述べています。リバースプロキシは利用者の認証を集中管理し、証明書認証など多様な認証方式を取り扱えるため、セキュリティ強化に寄与します。
よくある誤解
クッキーを使ったSSOはドメイン制約が厳しく、複数ドメイン間での認証共有は難しいと誤解されがちです。また、リバースプロキシの役割を単なる中継と考え、認証方式の多様性を見落とすこともあります。
解法ステップ
- シングルサインオンの基本構造を理解する(認証情報の一元管理)。
- クッキーを使ったSSOのドメイン制約を確認する。
- リバースプロキシの役割と認証方式の柔軟性を把握する。
- 各選択肢の記述が技術的に正しいか検証する。
- パスワード以外の認証方式(ディジタル証明書など)が使えるかを判断する。
選択肢別の誤答解説
- ア: クッキーはクライアント側で管理され、サーバごとに認証情報を生成・保存するのは誤りです。サーバ側で管理するのが一般的です。
- イ: クッキーを使ったSSOは同一ドメインまたはサブドメイン間での利用が基本で、異なるドメインに配置する必要はありません。
- ウ: リバースプロキシを使う場合、複数のWebサーバが異なるドメインである必要はなく、むしろ一元的に管理可能です。
- エ: 正解。リバースプロキシは多様な認証方式をサポートし、ディジタル証明書を用いた認証も可能です。
補足コラム
シングルサインオンはユーザビリティ向上とセキュリティ強化の両立を目指す技術です。クッキー方式は簡便ですがドメイン制約があり、リバースプロキシ方式は認証の集中管理と多様な認証方式の導入が可能です。特にディジタル証明書を用いる方式は、パスワード漏洩リスクを低減し、強固な認証を実現します。
FAQ
Q: クッキーを使ったシングルサインオンはなぜドメイン制約があるのですか?
A: クッキーはブラウザのセキュリティポリシーにより、設定されたドメイン以外には送信されないため、異なるドメイン間での共有が制限されます。
A: クッキーはブラウザのセキュリティポリシーにより、設定されたドメイン以外には送信されないため、異なるドメイン間での共有が制限されます。
Q: リバースプロキシを使うとどんなメリットがありますか?
A: 認証処理を一元化でき、多様な認証方式を導入可能で、複数のWebサーバを統合的に管理できます。
A: 認証処理を一元化でき、多様な認証方式を導入可能で、複数のWebサーバを統合的に管理できます。
関連キーワード: シングルサインオン, リバースプロキシ, ディジタル証明書, クッキー, 認証方式, セキュリティ