ホーム > 情報処理安全確保支援士試験 > 2017年 秋期
情報処理安全確保支援士試験 2017年 秋期 午前2 問02
PKI を構成する OCSP を利用する目的はどれか。
ア:誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
イ:ディジタル証明書から生成した鍵情報の交換が OCSP クライアントとレスポンダの間で失敗した際, 認証状態を確認する。
ウ:ディジタル証明書の失効情報を問い合わせる。(正解)
エ:有効期限が切れたディジタル証明書の更新処理の進捗状況を確認する。
解説
PKI を構成する OCSP を利用する目的はどれか【午前2 解説】
要点まとめ
- 結論:OCSPはディジタル証明書の失効情報をリアルタイムで問い合わせるために利用されます。
- 根拠:PKIにおける証明書の有効性確認は、失効リスト(CRL)よりも迅速かつ効率的に行うためにOCSPが設計されているからです。
- 差がつくポイント:OCSPは証明書の「失効状態」を即座に確認する仕組みであり、鍵の再発行や更新進捗の確認とは異なる点を理解することが重要です。
正解の理由
OCSP(Online Certificate Status Protocol)は、PKIの中でディジタル証明書が失効していないかをリアルタイムに問い合わせるためのプロトコルです。証明書の有効期限だけでなく、途中で失効した場合の状態を即座に確認できるため、セキュリティを高める役割を担っています。したがって、「ディジタル証明書の失効情報を問い合わせる」ウが正解です。
よくある誤解
OCSPは証明書の更新や秘密鍵の再発行の進捗を確認するものではありません。失効情報の確認に特化したプロトコルである点を混同しやすいです。
解法ステップ
- PKIの基本構成要素と役割を理解する。
- OCSPの目的が「証明書の失効状態の確認」であることを確認する。
- 選択肢の内容を「失効情報の問い合わせ」と「進捗確認」などで分類する。
- 失効情報の問い合わせに該当する選択肢を選ぶ。
- 他の選択肢がOCSPの役割と異なることを確認し除外する。
選択肢別の誤答解説
- ア: 秘密鍵の再発行進捗はPKIの管理プロセスであり、OCSPの役割ではありません。
- イ: 鍵情報の交換失敗時の認証状態確認はOCSPの機能外であり、誤りです。
- ウ: 正解。証明書の失効情報をリアルタイムに問い合わせるためのプロトコルです。
- エ: 証明書の更新進捗確認はOCSPの機能ではなく、管理者やCAの別のプロセスです。
補足コラム
OCSPはCRL(Certificate Revocation List)に代わる方式として普及しました。CRLは失効証明書の一覧を定期的に配布する方式ですが、更新頻度が低くリアルタイム性に欠けます。OCSPはクライアントが証明書の状態を即座に問い合わせるため、より安全で効率的な運用が可能です。
FAQ
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて配布する方式で、更新間隔があるためリアルタイム性に欠けます。OCSPは個別に証明書の失効状態を問い合わせるプロトコルで、即時確認が可能です。
A: CRLは失効証明書の一覧をまとめて配布する方式で、更新間隔があるためリアルタイム性に欠けます。OCSPは個別に証明書の失効状態を問い合わせるプロトコルで、即時確認が可能です。
Q: OCSPはどのようにして証明書の失効を確認しますか?
A: クライアントがOCSPレスポンダに証明書の状態を問い合わせ、レスポンダが「有効」「失効」「不明」などのステータスを返します。
A: クライアントがOCSPレスポンダに証明書の状態を問い合わせ、レスポンダが「有効」「失効」「不明」などのステータスを返します。
関連キーワード: PKI, OCSP, ディジタル証明書, 証明書失効, CRL, オンライン証明書状態プロトコル