戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2024年 秋期

情報処理安全確保支援士試験 2024年 秋期 午前208

シングルサインオン(SSO)に関する記述のうち、適切なものはどれか。
SAML方式ではURL形式の1人一つの利用者IDをIdPで自動生成することによってインターネット上の複数のWebサイトにおけるSSOを実現する。
エージェント方式ではクライアントPCに導入したエージェントがSSOの対象システムのログイン画面を監視しログイン画面が表示されたら認証情報を代行入力する。
代理認証方式ではSSOの対象サーバにSSOのモジュールを組み込む必要がありシステムの改修が必要となる。
リバースプロキシ方式ではSSOを利用する全てのトラフィックがリバースプロキシサーバに集中する。(正解)

解説

シングルサインオン(SSO)は、一度の認証操作で複数のシステムやサービスにアクセスできる仕組みです。これにより、利用者は複数回ログインする手間を省けるため利便性が大幅に向上します。
問題では、SSOの実装方式に関する記述の中から適切なものを選ぶ必要があります。それぞれの方式の特徴と問題選択肢の正誤を整理して解説します。

1. シングルサインオン方式の種類と特徴

ア: SAML方式の説明について

  • SAML(Security Assertion Markup Language)は、IDプロバイダ(IdP)が利用者の認証情報を認証後にサービスプロバイダ(SP)に伝達し、SSOを実現する仕組みです。
  • 選択肢の「URL形式の1人1つの利用者IDをIdPで自動生成する」というところが誤りです。
    実際には、ユーザ識別子はIdP側で管理されており、利用者本人の属性や認証情報に基づいて付与されます。自動生成だけでなく、既存IDのマッピングなども行われます。

イ: エージェント方式

  • エージェント方式はクライアントやゲートウェイにエージェント(ソフトウェア)を導入して、ログイン画面を監視し自動入力などを行う方式です。
  • 選択肢の説明はおおむね正しいですが、SSOの方式としてはエージェント方式は限定的であり、一般的には推奨されません。実際のところ監視による代行入力は安全面でリスクもあります。

ウ: 代理認証方式

  • 代理認証方式は認証サーバが利用者の認証を代理で行い、SSO対象サーバに認証情報を送出します。
  • この方式では、対象サーバ側に認証を受け付けるためのモジュールや改修が必要になるケースが多いです。
  • 選択肢記述は正しい可能性がありますが、この方式はシステムの改修コストがかかるので利用が限定的です。

エ: リバースプロキシ方式

  • リバースプロキシ方式は、リバースプロキシサーバがSSOの認証機能を持ち、すべてのユーザのトラフィックがこのサーバを経由します。
  • そのため「SSOを利用する全てのトラフィックがリバースプロキシサーバに集中する」という選択肢は妥当です。
  • これにより認証の一元化が可能となりますが、一方でリバースプロキシが障害を起こすと全体に影響するので冗長化などが必要です。

まとめ

  • ア:自動生成という表現が不正確で誤り。
  • イ:エージェント方式の基本的説明ではあるが実用性・安全性の観点で限定的。
  • ウ:代理認証方式は対象サーバの改修を必要とすることが多いため記述は正しい。
  • エ:リバースプロキシ方式のトラフィック集中の説明は正しく、SSOの特徴をよく表している。
問題の正解は、SSO全体のトラフィックが一か所に集まる特徴を正しく説明している「エ」が適切です。

参考情報:リバースプロキシ方式のメリット・デメリット

  • メリット
    • 認証処理の一元管理が可能で、複数システムに対して統一的な認証基盤を提供できる。
    • クライアント設定を特に変更せずにSSOを導入できる場合が多い。
  • デメリット
    • 全てのリクエストが一つのポイントに集中するため、性能や耐障害性に配慮が必要。
    • セキュリティ侵害時の影響が大きくなる可能性がある。
このように、それぞれのSSO方式の特徴を理解すると、なぜ「エ」が正しいのかが納得いただけると思います。
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ