ホーム > 情報処理安全確保支援士試験 > 2018年春期

情報処理安全確保支援士試験 2018年春期午前2 問05

シングルサインオンの実装方式に関する記述のうち, 適切なものはどれか。

ア：cookie を使ったシングルサインオンの場合, サーバごとの認証情報を含んだ cookie をクライアントで生成し,各サーバ上で保存, 管理する。

イ：cookie を使ったシングルサインオンの場合,認証対象のサーバを, 異なるインターネットドメインに配置する必要がある。

ウ：リバースプロキシを使ったシングルサインオンの場合,認証対象の Web サーバを,異なるインターネットドメインに配置する必要がある。

エ：リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。（正解）

解説

シングルサインオンの実装方式に関する記述【午前2 解説】

要点まとめ

結論：リバースプロキシ方式のシングルサインオンでは、パスワードの代わりにディジタル証明書を利用可能です。
根拠：リバースプロキシが認証処理を一元化し、多様な認証手段をサポートできるためです。
差がつくポイント：cookie方式はドメイン制約や管理の複雑さがあり、リバースプロキシ方式は認証方法の柔軟性が高い点を理解しましょう。

正解の理由

リバースプロキシを使ったシングルサインオンは、利用者認証をプロキシサーバ側で集中管理します。このため、パスワード認証だけでなく、ディジタル証明書（クライアント証明書）を用いた強固な認証も可能です。ディジタル証明書は公開鍵基盤（PKI）を利用し、なりすまし防止やセキュリティ強化に有効です。
一方、cookie方式はクライアント側に認証情報を保存し、ドメイン制約や管理の煩雑さがあるため、証明書認証の利用は一般的ではありません。

よくある誤解

cookie方式のシングルサインオンはドメインをまたいで利用できないと誤解されがちですが、適切な設定でサブドメイン間の共有は可能です。
また、リバースプロキシ方式が必ず異なるドメインを必要とするわけではありません。

解法ステップ

シングルサインオンの代表的な実装方式を理解する（cookie方式とリバースプロキシ方式）。
cookie方式の特徴として、認証情報の管理場所とドメイン制約を確認する。
リバースプロキシ方式の認証処理の集中管理と認証手段の多様性を把握する。
選択肢の記述と実際の方式の特徴を照らし合わせる。
パスワード以外の認証手段（ディジタル証明書）が使えるのはリバースプロキシ方式であることを確認する。

選択肢別の誤答解説

ア: cookieはクライアント側に保存され、サーバごとにcookieを生成・管理することはないため誤りです。
イ: cookie方式は同一ドメインまたはサブドメイン間での利用が基本であり、異なるドメイン配置は必須ではありません。
ウ: リバースプロキシ方式はドメインに依存せず、同一ドメイン内でも利用可能なので誤りです。
エ: リバースプロキシ方式は認証処理を集中管理し、パスワードの代わりにディジタル証明書を用いることができるため正解です。

補足コラム

シングルサインオン（SSO）は複数のシステムやサービスに対し、一度の認証でアクセスを可能にする仕組みです。cookie方式はブラウザのcookieを利用し、ユーザの認証状態を保持しますが、ドメイン制約やセキュリティ面での課題があります。
リバースプロキシ方式は認証サーバが前段に立ち、認証済みのリクエストのみをバックエンドに転送するため、認証方式の拡張性やセキュリティ強化が容易です。ディジタル証明書を用いた認証は、パスワード漏洩リスクを低減し、企業のセキュリティポリシーに適合しやすい特徴があります。

FAQ

Q: cookie方式のシングルサインオンは異なるドメイン間で使えますか？
A: 基本的には同一ドメインまたはサブドメイン間で利用され、異なるドメイン間では制約が多いため一般的ではありません。

Q: リバースプロキシ方式でディジタル証明書を使うメリットは何ですか？
A: なりすまし防止や強固な認証が可能になり、パスワード管理の負担軽減やセキュリティ向上につながります。

関連キーワード: シングルサインオン, リバースプロキシ, cookie, ディジタル証明書, 認証方式, PKI, セキュリティ

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2018年 春期 午前2 問05

解説