ホーム > 情報処理安全確保支援士試験 > 2019年 春期
情報処理安全確保支援士試験 2019年 春期 午前2 問02
PKI を構成する OCSP を利用する目的はどれか。
ア:誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
イ:ディジタル証明書から生成した鍵情報の交換が OCSP クライアントと OCSP レスポンダの間で失敗した際, 認証状態を確認する。
ウ:ディジタル証明書の失効情報を問い合わせる。(正解)
エ:有効期限が切れたディジタル証明書の更新処理の進捗状況を確認する。
解説
PKI を構成する OCSP を利用する目的はどれか【午前2 解説】
要点まとめ
- 結論:OCSPはディジタル証明書の失効情報をリアルタイムで問い合わせるために利用されます。
- 根拠:PKIにおいて証明書の有効性を確認する際、失効リスト(CRL)よりも迅速かつ効率的に失効状態を確認できる仕組みがOCSPです。
- 差がつくポイント:OCSPは証明書の失効確認に特化しており、鍵の再発行や更新進捗の確認には使わない点を理解することが重要です。
正解の理由
OCSP(Online Certificate Status Protocol)は、PKIの中でディジタル証明書が失効していないかをリアルタイムに問い合わせるためのプロトコルです。証明書の有効期限とは別に、秘密鍵の漏洩や不正利用が判明した場合に証明書は失効されます。OCSPはその失効情報を即座に確認できるため、証明書の信頼性を保つ上で不可欠です。したがって、「ウ: ディジタル証明書の失効情報を問い合わせる。」が正解です。
よくある誤解
OCSPは証明書の更新や秘密鍵の再発行の進捗確認には使いません。失効情報の確認に特化したプロトコルである点を誤解しやすいです。
解法ステップ
- PKIの基本構成要素と役割を理解する。
- OCSPの目的が証明書の失効状態の確認であることを把握する。
- 選択肢の内容を「失効情報の問い合わせか否か」で分類する。
- 鍵の再発行や更新進捗はOCSPの役割外と判断する。
- 「ウ」が失効情報の問い合わせであるため正解と確定する。
選択肢別の誤答解説
- ア: 秘密鍵の再発行進捗はPKIの管理プロセスであり、OCSPの機能ではありません。
- イ: 鍵情報の交換失敗時の認証状態確認はOCSPの役割外であり、誤りです。
- ウ: ディジタル証明書の失効情報を問い合わせるためのプロトコルであり正解です。
- エ: 証明書の更新進捗確認はOCSPの機能ではなく、証明書管理者の業務範囲です。
補足コラム
OCSPはCRL(Certificate Revocation List)に代わる失効確認手段として普及しました。CRLは失効証明書の一覧を定期的に配布しますが、更新頻度が低くリアルタイム性に欠けます。OCSPはクライアントがサーバーに問い合わせる方式で、即時に失効状態を確認できるため、セキュリティの向上に寄与しています。
FAQ
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて配布する方式で、OCSPは個別に失効状態を問い合わせるリアルタイム方式です。
A: CRLは失効証明書の一覧をまとめて配布する方式で、OCSPは個別に失効状態を問い合わせるリアルタイム方式です。
Q: OCSPは証明書の有効期限も確認しますか?
A: いいえ、OCSPは証明書の失効状態のみを確認し、有効期限は証明書自体の情報で判断します。
A: いいえ、OCSPは証明書の失効状態のみを確認し、有効期限は証明書自体の情報で判断します。
関連キーワード: PKI, OCSP, ディジタル証明書, 失効情報, 証明書失効確認, CRL, セキュリティ