ホーム > 情報処理安全確保支援士試験 > 2019年 秋期
情報処理安全確保支援士試験 2019年 秋期 午前2 問01
認証処理のうち,FIDO (Fast IDentity Online) UAF (Universal Authentication Framework) 1.1 に基づいたものはどれか。
ア:SaaS 接続時の認証において,PIN コードとトークンが表示したワンタイムパスワードとをPCから認証サーバに送信した。
イ:SaaS 接続時の認証において,スマートフォンで顔認証を行った後,スマートフォン内の秘密鍵でディジタル署名を生成して,そのディジタル署名を認証サーバに送信した。(正解)
ウ:インターネットバンキング接続時の認証において,PC に接続されたカードリーダを使って,利用者のキャッシュカードからクライアント証明書を読み取ってそのクライアント証明書を認証サーバに送信した。
エ:インターネットバンキング接続時の認証において,スマートフォンを使い指紋情報を読み取って,その指紋情報を認証サーバに送信した。
解説
認証処理のうち,FIDO UAF 1.1 に基づいたものはどれか【午前2 解説】
要点まとめ
- 結論:FIDO UAF 1.1は生体認証後に端末内で秘密鍵を使い署名し、認証サーバに送信する方式である。
- 根拠:UAFはパスワード不要の生体認証を端末側で完結させ、公開鍵暗号で認証を行う仕様であるため。
- 差がつくポイント:生体認証情報をサーバに送信するのではなく、端末内で署名を生成し送信する点が重要である。
正解の理由
選択肢イは、スマートフォンで顔認証を行い、その後スマートフォン内の秘密鍵でディジタル署名を生成して認証サーバに送信しています。これはFIDO UAFの特徴である「生体認証を端末内で行い、秘密鍵で署名して認証サーバに送る」という流れに完全に合致します。UAFはパスワードレス認証を実現し、秘密鍵は端末から外に出さずに安全に管理されるため、選択肢イが正解です。
よくある誤解
生体認証情報をそのまま認証サーバに送信する方式はFIDO UAFではありません。UAFは生体情報をサーバに送らず、端末内で署名を生成する点がポイントです。
解法ステップ
- FIDO UAFの特徴を理解する(パスワード不要、生体認証+公開鍵暗号)。
- 選択肢の認証方式を確認し、生体認証がどこで行われているかを判断。
- 生体認証情報をサーバに送信しているか、端末内で署名を生成しているかを見極める。
- 端末内で秘密鍵を使い署名を生成し送信している選択肢を選ぶ。
選択肢別の誤答解説
- ア: PINコードとワンタイムパスワードを送信する方式で、FIDO UAFのパスワードレスかつ公開鍵暗号方式とは異なる。
- イ: 生体認証後に端末内で秘密鍵で署名を生成し送信しており、FIDO UAFの正しい認証方式。
- ウ: クライアント証明書をカードリーダから読み取り送信する方式で、FIDO UAFの生体認証+秘密鍵署名方式とは異なる。
- エ: 指紋情報をそのまま認証サーバに送信しており、生体情報をサーバに送らないUAFの仕様に反する。
補足コラム
FIDO(Fast IDentity Online)はパスワードに依存しない安全な認証を目指す規格群で、UAFはその中でもユーザーの生体認証を端末内で完結させる方式です。秘密鍵は端末から出ず、公開鍵のみがサーバに登録されるため、盗聴やリプレイ攻撃に強いのが特徴です。
FAQ
Q: FIDO UAFとFIDO U2Fの違いは何ですか?
A: UAFはパスワード不要の生体認証を端末内で行う方式、U2Fは二要素認証で外部トークンを使いパスワードと組み合わせる方式です。
A: UAFはパスワード不要の生体認証を端末内で行う方式、U2Fは二要素認証で外部トークンを使いパスワードと組み合わせる方式です。
Q: なぜ生体情報をサーバに送らないのですか?
A: 生体情報をサーバに送ると漏洩リスクが高まるため、端末内で署名を生成し生体情報は端末外に出さない設計になっています。
A: 生体情報をサーバに送ると漏洩リスクが高まるため、端末内で署名を生成し生体情報は端末外に出さない設計になっています。
関連キーワード: FIDO, UAF, 生体認証, 公開鍵暗号, パスワードレス認証, ディジタル署名, 認証方式