ホーム > 情報処理安全確保支援士試験 > 2022年秋期

情報処理安全確保支援士試験 2022年秋期午前2 問07

シングルサインオン(SSO)に関する記述のうち、適切なものはどれか。

ア：SAML方式では、インターネット上の複数のWebサイトにおけるSSOを、IdP(Identity Provider)で自動生成されたURL形式の1人一つの利用者IDで実現する。

イ：エージェント方式では、クライアントPCに導入したエージェントがSSOの対象システムのログイン画面を監視し、ログイン画面が表示されたら認証情報を代行入力する。

ウ：代理認証方式では、SSOの対象サーバにSSOのモジュールを組み込む必要があり、システムの改修が必要となる。

エ：リバースプロキシ方式では、SSOを利用する全てのトラフィックがリバースプロキシサーバに集中し、リバースプロキシサーバが単一障害点になり得る。（正解）

解説

シングルサインオン(SSO)に関する記述のうち、適切なものはどれか【午前2 解説】

要点まとめ

結論：リバースプロキシ方式では全トラフィックが集中し、単一障害点となる可能性があるため注意が必要です。
根拠：リバースプロキシが認証やアクセス制御を一元管理し、全通信を経由させる仕組みだからです。
差がつくポイント：SSOの方式ごとの特徴やシステム改修の有無、認証情報の管理方法を正確に理解することが重要です。

正解の理由

リバースプロキシ方式は、ユーザのアクセスを一旦リバースプロキシサーバで受けて認証を行い、その後バックエンドの複数システムへアクセスを中継します。このため、すべてのトラフィックがリバースプロキシに集中し、ここが障害を起こすと全体のサービスに影響が及びます。したがって「リバースプロキシ方式では、SSOを利用する全てのトラフィックがリバースプロキシサーバに集中し、リバースプロキシサーバが単一障害点になり得る」という記述は正しいです。

よくある誤解

SAML方式で「1人1つの利用者IDが自動生成される」と誤解されがちですが、IDはIdPが管理し、ユーザごとに一意に割り当てられます。
また、代理認証方式は対象サーバの改修が不要な場合も多く、必ずしもシステム改修が必要とは限りません。

解法ステップ

各方式（SAML、エージェント、代理認証、リバースプロキシ）の特徴を整理する。
SAML方式はIdPが認証情報を管理し、URL形式のID自動生成は誤りと判断。
エージェント方式はクライアント側で認証情報を代行入力するが、ログイン画面の監視は誤解。
代理認証方式は対象サーバの改修が不要な場合もあるため、必ず改修が必要とは言えない。
リバースプロキシ方式は全トラフィックが集中し単一障害点になる可能性があるため正解と判断。

選択肢別の誤答解説

ア: SAML方式はIdPが認証を行いトークンを発行しますが、URL形式の利用者IDを自動生成するわけではありません。
イ: エージェント方式は認証情報の代行入力を行いますが、ログイン画面の監視ではなく、認証情報を保持して自動送信します。
ウ: 代理認証方式は対象サーバにモジュールを組み込む必要がない場合も多く、必ずしもシステム改修が必要とは限りません。
エ: リバースプロキシ方式は全トラフィックが集中し、単一障害点となるリスクがあるため正しい記述です。

補足コラム

SSOは複数のシステムに対して一度の認証でアクセス可能にする仕組みで、ユーザ利便性とセキュリティ向上を両立します。代表的な方式にはSAML、OAuth、OpenID Connect、Kerberosなどがあり、用途や環境に応じて使い分けられます。リバースプロキシ方式は導入が比較的容易ですが、単一障害点対策として冗長化が必須です。

FAQ

Q: SAML方式で利用者IDはどのように管理されますか？
A: IdPがユーザ情報を管理し、認証トークン（アサーション）を発行してSPに渡します。利用者IDはIdP側で一意に管理されます。

Q: エージェント方式のメリットは何ですか？
A: クライアントにエージェントを導入することで、ユーザの認証情報を自動入力し利便性を高められますが、クライアント管理が必要です。

Q: 代理認証方式でシステム改修が不要な場合はありますか？
A: はい。代理認証方式は認証サーバが代理で認証を行うため、対象サーバの改修が不要なケースもあります。

関連キーワード: シングルサインオン, SSO, リバースプロキシ方式, SAML, 代理認証方式, エージェント方式, 単一障害点, 認証方式

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2022年 秋期 午前2 問07

解説