ホーム > 情報処理安全確保支援士試験 > 2025年 春期
情報処理安全確保支援士試験 2025年 春期 午前2 問16
OAuth 2.0 に関する記述のうち、適切なものはどれか。
ア:認可を行うためのプロトコルであり、認可サーバが、アクセスしてきた者が利用者(リソースオーナー) 本人であるかどうかを確認するためのものである。
イ:認可を行うためのプロトコルであり、認可サーバが、利用者 (リソースオーナー)の許可を得て、サービス (クライアント) に対し、適切な権限を付与するためのものである。(正解)
ウ:認証を行うためのプロトコルであり、認証サーバが、アクセスしてきた者が利用者(リソースオーナー) 本人であるかどうかを確認するためのものである。
エ:認証を行うためのプロトコルであり、認証サーバが、利用者 (リソースオーナー)の許可を得て、サービス (クライアント) に対し、適切な権限を付与するためのものである。
解説
OAuth 2.0 に関する記述のうち、適切なものはどれか【午前2 解説】
要点まとめ
- 結論:OAuth 2.0は認可プロトコルであり、利用者の許可を得てクライアントに権限を付与する仕組みです。
- 根拠:OAuth 2.0は認証ではなく、リソースオーナーの同意を基にアクセス権を委譲するための標準仕様です。
- 差がつくポイント:認証(本人確認)と認可(権限付与)の違いを正確に理解し、認可サーバと認証サーバの役割を区別できることが重要です。
正解の理由
選択肢イは「認可を行うためのプロトコルであり、認可サーバが利用者(リソースオーナー)の許可を得て、サービス(クライアント)に適切な権限を付与する」と正しく説明しています。OAuth 2.0はリソースオーナーの同意を得て、クライアントに限定的なアクセス権を与える認可フレームワークであり、認証を目的としたものではありません。
よくある誤解
OAuth 2.0は認証プロトコルと誤解されやすいですが、実際は認可プロトコルです。認証はOpenID Connectなどの別仕様で補完されます。
解法ステップ
- OAuth 2.0の目的が認可(Authorization)であることを確認する。
- 認可サーバの役割は利用者の許可を得てクライアントに権限を付与することと理解する。
- 認証(Authentication)と認可の違いを整理し、認証サーバの説明がある選択肢を除外する。
- 選択肢の文言を比較し、認可サーバと認証サーバの役割に合致するものを選ぶ。
選択肢別の誤答解説
- ア:認可サーバは利用者本人確認を行うのではなく、許可の管理を行うため誤り。
- イ:正解。認可サーバが利用者の許可を得てクライアントに権限を付与する説明が正しい。
- ウ:OAuth 2.0は認証プロトコルではないため誤り。認証サーバの説明も不適切。
- エ:認証プロトコルの説明であり、OAuth 2.0の認可プロトコルとしての役割と異なるため誤り。
補足コラム
OAuth 2.0は「認可フレームワーク」として設計されており、アクセストークンを発行してクライアントに限定的なリソースアクセス権を与えます。認証機能は含まれていないため、ユーザーの本人確認が必要な場合はOpenID Connectなどの上位仕様を利用します。これにより、セキュリティと利便性を両立したアクセス管理が可能です。
FAQ
Q: OAuth 2.0は認証も行いますか?
A: いいえ、OAuth 2.0は認可のためのプロトコルであり、認証は含まれていません。認証にはOpenID Connectなどが使われます。
A: いいえ、OAuth 2.0は認可のためのプロトコルであり、認証は含まれていません。認証にはOpenID Connectなどが使われます。
Q: 認可サーバと認証サーバの違いは何ですか?
A: 認可サーバは利用者の許可を得てクライアントに権限を付与し、認証サーバは利用者の本人確認を行います。OAuth 2.0は認可サーバの役割に焦点を当てています。
A: 認可サーバは利用者の許可を得てクライアントに権限を付与し、認証サーバは利用者の本人確認を行います。OAuth 2.0は認可サーバの役割に焦点を当てています。
関連キーワード: OAuth 2.0, 認可プロトコル, 認証と認可の違い, アクセストークン, OpenID Connect