情報処理安全確保支援士試験 2024年 秋期 午前2 問07
あるIdP(Identity Provider)はパスキー(Passkey)認証をサポートしており、利用者AはこのIdPのFIDO認証器として自分のスマートフォンの生体認証機能を登録してある。またWebサーバBはこのIdPを使ってログインが可能である。利用者AのWebブラウザからWebサーバBにアクセスする際、利用者Aの生体情報を受信するもの、受信しないものの組合せのうち、適切なものはどれか。
ア:(正解)
イ:
ウ:
エ:
解説
パスキー認証における生体情報の受信範囲【午前2 解説】
要点まとめ
- 結論:利用者の生体情報はWebブラウザやWebサーバ、IdPに送信されず、認証器内で処理されるため全て「受信しない」が正しいです。
- 根拠:FIDO認証のパスキーは生体情報を外部に送らず、認証器内で署名を生成し、公開鍵のみを共有します。
- 差がつくポイント:生体情報の取り扱いを正確に理解し、プライバシー保護の観点からどこに情報が渡るかを区別できることが重要です。
正解の理由
パスキー認証はFIDO規格に基づき、利用者の生体情報はスマートフォンなどの認証器内でのみ処理されます。WebブラウザやWebサーバ、IdPは生体情報を直接受け取らず、認証結果としての公開鍵署名やトークンのみを受け取ります。したがって、利用者Aの生体情報を「受信しない」とするアの選択肢が正解です。
よくある誤解
生体情報がWebサーバやIdPに送られると思い込み、セキュリティリスクを過大評価することがあります。実際は生体情報は認証器内に留まり、外部に送信されません。
解法ステップ
- パスキー認証の仕組みを理解する(生体情報は認証器内で処理)。
- Webブラウザ、Webサーバ、IdPの役割を整理する(生体情報は受け取らない)。
- 選択肢の「受信する」「受信しない」を照合し、正しい組み合わせを選ぶ。
- 生体情報のプライバシー保護の観点から、外部に送信されないことを確認する。
選択肢別の誤答解説ステップ
- ア:利用者の生体情報はどこにも送られず認証器内で処理されるため正解。
- イ:WebサーバやIdPが生体情報を受信すると誤っている。これらは公開鍵や認証結果のみを受け取る。
- ウ:Webブラウザが生体情報を受信することはなく、認証器からの署名を受け取るだけ。
- エ:全てが生体情報を受信するのは誤りで、プライバシー保護の観点からも不適切。
補足コラム
FIDO認証はパスワードレス認証の代表例であり、生体情報をデバイス外に送らず安全に認証を実現します。これにより、パスワード漏洩やリプレイ攻撃のリスクを大幅に低減できます。IdPは認証の仲介役として公開鍵の検証を行い、Webサーバは認証結果を受けてアクセス制御を行います。
FAQ
Q: なぜ生体情報はWebサーバやIdPに送られないのですか?
A: 生体情報はプライバシー保護のため認証器内で処理され、外部に送信されることはありません。公開鍵署名のみが共有されます。
A: 生体情報はプライバシー保護のため認証器内で処理され、外部に送信されることはありません。公開鍵署名のみが共有されます。
Q: Webブラウザは生体情報をどのように扱いますか?
A: Webブラウザは認証器と連携して署名を受け取り、IdPやWebサーバに送信しますが、生体情報自体は受け取りません。
A: Webブラウザは認証器と連携して署名を受け取り、IdPやWebサーバに送信しますが、生体情報自体は受け取りません。
関連キーワード: FIDO認証, パスキー, 生体認証, IdP, Web認証, 公開鍵暗号, プライバシー保護