ホーム > 情報処理安全確保支援士試験 > 2021年 春期
情報処理安全確保支援士試験 2021年 春期 午前2 問02
PKI を構成する OCSP を利用する目的はどれか。
ア:誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
イ:ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとOCSPレスポンダの間で失敗した際認証状態を確認する。
ウ:ディジタル証明書の失効情報を問い合わせる。(正解)
エ:有効期限が切れたディジタル証明書の更新処理の進捗状況を確認する。
解説
PKI を構成する OCSP を利用する目的はどれか【午前2 解説】
要点まとめ
- 結論:OCSPはディジタル証明書の失効情報をリアルタイムで問い合わせるために利用されます。
- 根拠:PKIにおいて証明書の有効性確認は重要で、OCSPは失効リストを効率的に確認するプロトコルです。
- 差がつくポイント:失効情報の確認と証明書の更新や鍵の再発行などの処理進捗は異なる目的であることを理解しましょう。
正解の理由
OCSP(Online Certificate Status Protocol)は、ディジタル証明書が失効していないかをリアルタイムで問い合わせるためのプロトコルです。証明書の有効期限だけでなく、途中で失効(取り消し)された場合も安全性を保つために確認が必要です。したがって、「ディジタル証明書の失効情報を問い合わせる」選択肢が正解となります。
よくある誤解
OCSPは証明書の更新や鍵の再発行の進捗確認には使いません。失効情報の確認に特化した仕組みである点を混同しやすいです。
解法ステップ
- PKIの基本構成要素と役割を理解する。
- OCSPの目的が証明書の失効状態の確認であることを確認する。
- 選択肢の内容を「失効情報の問い合わせ」と「進捗確認」などの違いで分類する。
- 失効情報の問い合わせに該当する選択肢を選ぶ。
選択肢別の誤答解説
- ア: 秘密鍵の再発行進捗はPKIの管理プロセスであり、OCSPの役割ではありません。
- イ: 鍵情報の交換失敗時の認証状態確認はOCSPの機能外です。
- ウ: ディジタル証明書の失効情報を問い合わせるため、OCSPの本来の目的に合致します。
- エ: 証明書の更新進捗確認は別の管理手続きであり、OCSPは対応しません。
補足コラム
OCSPはCRL(Certificate Revocation List)に代わるリアルタイムの失効確認手段として普及しています。CRLは失効証明書の一覧を定期的に配布しますが、OCSPはクライアントが必要な時に失効状態を問い合わせるため、より効率的で即時性があります。
FAQ
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて配布する方式で、OCSPはリアルタイムに失効状態を問い合わせる方式です。
A: CRLは失効証明書の一覧をまとめて配布する方式で、OCSPはリアルタイムに失効状態を問い合わせる方式です。
Q: OCSPは証明書の有効期限も確認しますか?
A: 有効期限は証明書自体の情報で確認可能ですが、OCSPは失効状態の確認に特化しています。
A: 有効期限は証明書自体の情報で確認可能ですが、OCSPは失効状態の確認に特化しています。
関連キーワード: PKI, OCSP, ディジタル証明書, 失効情報, 証明書失効確認, CRL, 公開鍵基盤