情報処理安全確保支援士 2025年 秋期 午前2 問11
問題文
NIST SP 800-63-3で定義されているIdentity Proofingに該当するものはどれか。
選択肢
ア:システムに利用者を登録する際に、利用者本人と写真付き身分証とを照合し、確認する。(正解)
イ:システムに利用者を登録する際に、利用者本人の希望する利用者IDが既に別の利用者に利用されていないかどうかを確認する。
ウ:利用者がシステムにログインした際に、システムから利用者に電子メールを送信し、ログインしたことを利用者本人に確認させる。
エ:利用者がシステムにログインする際に、利用者の入力した利用者ID及びパスワードとシステムに登録されている情報とを照合し、利用者本人かどうかを確認する。
NIST SP 800-63-3 における Identity Proofing に該当するもの【午前2 解説】
要点まとめ
- 結論→正解は ア。写真付き身分証と利用者本人を照合する行為はIdentity Proofingに該当します。
- 根拠→NIST SP 800-63-3は、登録時に身元(実体)を検証・裏付けして、信頼できるIDを確立するプロセスを定義しています。
- 差がつくポイント→イ・ウ・エは識別子の重複確認やログイン時の認証、メール確認などで、Proofingではなく認証やアカウント管理に分類されます。
正解の理由
正解は ア です。NIST SP 800-63-3 における Identity Proofing(身元確認)は、利用者の実体を証明するために本人確認書類(例えば写真付き身分証)や対面確認を用いて、提出された情報が実在する人物に該当するかを検証・裏付けするプロセスを指します。選択肢アは「利用者本人と写真付き身分証を照合し確認する」という、まさに身元の検証を行う行為であり、Identity Proofing の典型例です。
よくある誤解(2〜3 行)
- 「ログイン時のパスワード照合=本人確認」と考えがちですが、これは認証(Authentication)でありProofingとは別物です。
- メール送信による確認はアカウント制御の確認(所有確認)で、身元の裏付け(実在する本人の確認)とは目的が異なります。
解法ステップ(番号付きリスト)
- 問題文で要求されている概念が「Identity Proofing」であることを確認する。
- NIST SP 800-63-3 の用語を思い出し、「身元の検証/裏付け(proofing)」と「認証(authentication)」を区別する。
- 各選択肢を「身元確認(Proofing)」か「識別子管理/認証/所有確認」に分類する。
- 身元確認に該当する選択肢(写真付き身分証での照合)を選ぶ。
選択肢別の誤答解説
- ア(正解): 利用者本人と写真付き身分証を照合する行為は、身元の検証・裏付けに該当し、Identity Proofing の定義に合致します。
- イ(誤り): 希望する利用者IDが既に使われていないかの確認は識別子の重複チェックやアカウント管理であり、身元の裏付けではありません。
- ウ(誤り): ログイン時にシステムからメールを送って本人に確認させるのは「連絡先の所有確認」や「セッション通知」であり、Proofing(身元確認)ではなく所有性の検証や通知手段です。
- エ(誤り): 利用者IDとパスワードの照合は認証(Authentication)であり、既に登録された認証情報と照合してアクセス権を確認する工程です。Proofing ではありません。
補足コラム(関連知識など)
NIST SP 800-63-3 はデジタルアイデンティティのフレームワークで、主に次の要素を区別します:Identity Assurance Level (IAL: 身元確認の厳格さ)、Authentication Assurance Level (AAL: 認証強度)、Enrollment and Identity Proofing のプロセス。Identity Proofing のプロセスには、情報収集(名前、生年月日、住所等)、ドキュメント検証(パスポート、運転免許証等)、対面またはリモートでの確認(遠隔カメラ照合やビデオ会話等)、および検証結果の記録と結び付け(認証器との紐付け)などが含まれます。メール確認やパスワード照合はProofingではなく、アクセス制御や認証のフェーズです。
FAQ(Q:/A: を 2〜3 組)
Q: Identity Proofing と Authentication の違いは何ですか?
A: Identity Proofing は「その人物が実在し、その情報が本人のものであることを検証・裏付ける」プロセスで、Authentication は「既に登録された認証情報でアクセス要求が本当にその所有者からのものか確認する」プロセスです。
A: Identity Proofing は「その人物が実在し、その情報が本人のものであることを検証・裏付ける」プロセスで、Authentication は「既に登録された認証情報でアクセス要求が本当にその所有者からのものか確認する」プロセスです。
Q: リモートでの身元確認は Identity Proofing に含まれますか?
A: はい。リモートでのドキュメント検証やビデオ確認、顔認証と政府発行IDの突合など、適切な検証手順を踏めば Identity Proofing に該当します。
A: はい。リモートでのドキュメント検証やビデオ確認、顔認証と政府発行IDの突合など、適切な検証手順を踏めば Identity Proofing に該当します。
Q: メールの確認はProofingの代替になり得ますか?
A: 通常は代替になりません。メール確認は連絡先やアカウント所有の確認に有効ですが、実在する本人の身元を裏付けるProofingとは目的と信頼度が異なります。
A: 通常は代替になりません。メール確認は連絡先やアカウント所有の確認に有効ですが、実在する本人の身元を裏付けるProofingとは目的と信頼度が異なります。
関連キーワード: NIST SP 800-63-3, Identity Proofing, 身元確認、IAL, AAL, 認証、本人確認、デジタルID
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!