認証(デジタル署名・電子証明書)【ITパスポート講座】

2020年2月6日

ITパスポート 認証

この記事で学ぶこと

  1. 認証の概要
  2. デジタル署名
  3. 電子証明書

今回はITパスポート認証について学習します。

くろん
くろん
サービスを利用するユーザが本当に本人か確認するには、どうすれば良いにゃ?
モナ
モナ
そんなときは認証技術を使うニャ!

認証とは

ITパスポート 認証

認証は対象とする人物やサービスが正しいものかどうかを確認することです。認証には主に以下の2種類があります。

認証の種類
  • 本人認証:ある人が他の人に、「自分が自分である」と納得させること
  • メッセージ認証:メッセージが送信された後何者かに改ざんされていないことを確認することです。

これらを実現するためにデジタル署名公開鍵基盤等の技術が用いられています。

利用者認証

利用者認証は該当ユーザがその人であることを確認・証明することです。利用者認証には主に以下のようなものがあります。

知識による認証

知識による認証では、その人しか知りえない情報をもとに認証します。例えばパスワードなどの知識を認証に用います。

キュー
キュー
簡単に実装できるメリットがあるけど、推測されたり漏洩されると別の人間でも認証を突破してしまう点や、本人がPWを忘れてしまう点はデメリットやで

持ち物による認証

持ち物による認証としては、その人しか持っていないものを認証に用いる方法です。

具体的にはICカード社員証が挙げられます。

モナ
モナ
カードなら複製が困難だから、知識による認証よりも強固になるニャ!ただ、盗難・紛失のリスクもあるニャ

生体認証(バイオメトリクス認証)

生体認証(バイオメトリクス認証)は、その人の身体的特徴を利用して認証します。

具体的には指紋・声紋・虹彩・静脈パターンなどが挙げられます。

キュー
キュー
複製や盗難はされんけど、費用が掛かる点と、病気やケガでユーザの身体に何かか変化があると本人でも認識できなくなるで。

関連用語として、以下も押さえておきましょう。

生体認証の関連用語
  • 他人受入率:他人が認証を試みたときに、本人であると誤認してしまう割合
  • 本人拒否率:本人が認証を試みたときに、本人と認識されず拒否されてしまう割合。

その他の認証方法

上記以外の認証方法についても、確認しておきましょう。

要素 内容
CAPTCHA 人間には判別できるが、機械では判別できないような文字を読み取らせたり、複数の写真の中から該当するもの(横断歩道・車など)を選ばせたりする認証方法
SMS認証 多くのスマートフォンが対応しているSMS(ショートメッセージサービス)を活用した個人認証機能
2段階認証 認証を2段階に分ける方法。例えばID・パスワードを入力後にSMSを送るなど
リスクベース認証 システムのアクセスログからユーザの行動パターンを分析し、本人認証の精度を高める方式。いつもと異なる環境から接続があった場合、高リスクと判断して追加の認証を用意する

デジタル署名

デジタル署名メッセージの正当性を確認します。

具体的には、そのメッセージが本人によって作成されたこと(なりすましがない)と、メッセージの内容が改ざんされていないこと(メッセージ認証)を同時に行うことです。

具体的な流れ例を見てみましょう。

ITパスポート デジタル署名

デジタル署名の流れ
  1. 送信者はハッシュ関数でハッシュ値を生成
  2. 送信者はハッシュ値を送信者の秘密鍵で暗号化
  3. 送信者は暗号化されたハッシュ値とメッセージを受信者に送信
  4. 受信者は暗号化されたハッシュ値を送信者の公開鍵で復号
  5. 受信者はハッシュ関数でハッシュ値を生成
  6. 受信者は復号したハッシュ値と、生成したハッシュ値を比較し、一致すればなりすましと改ざんがないと判断する
くろん
くろん
いきなり出てきたハッシュ関数とかハッシュ値って何だにゃ?

ハッシュ関数は特別なアルゴリズムにより、もともとの文章からある値を導き出す関数です。少しでも文字が異なると同じ値は生成されないため、改ざんがあればハッシュ値の違いにより検知できます。

キュー
キュー
例えば

「借したお金は4,000円です」 をハッシュ関数にかけたら 「$!”#!%”#!$!」 になるとしても、

「貸したお金は5,000円です」 をハッシュ関数にかけたら 「()$(#)””)!#”」 の様に全く別の値になるんや。

衝突困難性とか呼ばれるけど、ITパスポートの試験では覚えておかんくてええで

モナ
モナ
暗号化学んだ公開鍵暗号方式とは秘密鍵と公開鍵の役割が逆転(公開鍵暗号方式では公開鍵で暗号化、秘密鍵で復号)している点も押さえておくニャ!

電子証明書

ITパスポート 電子証明書

インターネット上では相手は直接認識できないため、なりすましを含め簡単に身分を偽れます。

運営者が正しいかどうかを証明するためには身分証明書が必要ですが、自分で作れる身分証(オレオレ証明書)では信用できません。

そこでしっかりとした第三者機関が「この人は本人」と認める証明書が必要で、第三者機関によって作られた証明書を電子証明書と呼びます。

そして、第三者機関のことを認証局(CA:Certification Authority)と呼びます。

電子証明書の具体的な記載内容は以下の通りです。

電子証明書の記載内容
  • 証明書形式のバージョン
  • 証明書のシリアル番号
  • 電子署名のアルゴリズム
  • 認証局の識別名
  • 有効期限
  • 被証明者の識別名
  • 公開鍵のアルゴリズム
  • 公開鍵の値
  • 認証局の電子署名

電子証明書の中には公開鍵の値も含まれており、電子証明書を取得した人は公開鍵と見比べてその値があっているかどうかを確認できます。

これによって公開鍵の正当性を確認できます。また、電子証明書にはWebサイトの所有者を証明するサーバ証明書と、クライアント個人の身元を特定するために使用されるクライアント証明書があります。

TLSで暗号化通信を行う場合お互いの証明書を交換し、正当な相手か確認することが重要です。

Advice
デジタル証明書は、秘密鍵の情報が漏れたりアルゴリズムが危殆化したりすることで、有効期限内であっても失効することがあります。失効したデジタル証明書は、CRL(Certificate Revocation List:証明書失効リスト)に掲載されます。
スポンサーリンク

認証技術の例題

実際に例題を解いて問題に慣れていきましょう。

問1

バイオメトリクス認証の例として,適切なものはどれか。(R.1秋/問88)

ア:本人の手の指の静脈の形で認証する。
イ:本人の電子証明書で認証する。
ウ:読みにくい文字列が写った画像から文字を正確に読み取れるかどうかで認証する。
エ:ワンタイムパスワードを用いて認証する。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示
問1の解説を表示

バイオメトリクス認証は生体認証とも呼ばれ、個々人固有の生態的特徴を用いて認証する方法です。

具体的な例として、指紋・虹彩・静脈パターン・声紋・顔・網膜などがあります。

ア:本人の手の指の静脈の形で認証する。
⇒静脈のパターンは人によって異なるため生体認証として利用可能です。よって正解です。

イ:本人の電子証明書で認証する。
⇒生体情報を利用していないため不正解です。

ウ:読みにくい文字列が写った画像から文字を正確に読み取れるかどうかで認証する。
⇒CAPTCHA(キャプチャ)の説明です。不正解です。

エ:ワンタイムパスワードを用いて認証する。
⇒生体情報を利用していないため不正解です。

これより、「ア」が正解です。

問2

システムの利用者を認証するための方式に関する記述のうち,適切なものはどれか。(H.30秋/問69)

ア:一度しか使えないパスワードを用いて認証する方式を,シングルサインオンという。
イ:一度の認証で,許可されている複数のサーバやアプリケーションなどを利用できる方式を,ワンタイムパスワードという。
ウ:画面に表示された表の中で,自分が覚えている位置に並んでいる数字や文字などをパスワードとして入力する方式を,マトリクス認証という。
エ:指紋や声紋など,身体的な特徴を利用して本人認証を行う方式を,チャレンジレスポンス認証という。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示
問2の解説を表示

ア:一度しか使えないパスワードを用いて認証する方式を,シングルサインオンという。
⇒シングルサインオンは一度認証が通ったら他のシステムで再度認証せずに利用できるシステムです。一度しか使えないパスワードを用いて認証する方式はワンタイムパスワードになるので不正解です。

イ:一度の認証で,許可されている複数のサーバやアプリケーションなどを利用できる方式を,ワンタイムパスワードという。
⇒一度の認証で許可されている複数のサーバやアプリケーションを利用できる方式はシングルサインオンです。アとイは前半の文章と後半の文章が逆転しています。

ウ:画面に表示された表の中で,自分が覚えている位置に並んでいる数字や文字などをパスワードとして入力する方式を,マトリクス認証という。
⇒マトリクス認証は、認証ごとにランダムに生成される表を利用者が記憶をもとに認証を行う方法です。認証ごとに表がランダムに生成されるため、入力手順が万が一流失してしまっても不正利用されるリスクが少なくなります。

今回、本文中ではマトリクス認証に関しては取り扱っていませんでしたが、その他の選択肢の内容は学んでおり消去法によりウだけ残すことが可能です。

ITパスポートは問われる範囲も広く、テキストベースで学習しても本番では学んでないことが問われる可能性はあるので、知識を持っていない状態での対処法として消去法も押さえておきましょう。

エ:指紋や声紋など,身体的な特徴を利用して本人認証を行う方式を,チャレンジレスポンス認証という。
⇒指紋や声紋を用いるのはバイオメトリクス認証になります。チャレンジレスポンス認証はワンタイムパスワードの一つで、ユーザーがログインする際にサーバからチャレンジ(問題)を受け取り、レスポンス(回答)を返して認証するため、チャレンジレスポンス認証と呼ばれます。

問3

メッセージダイジェストを利用した送信者のデジタル署名が付与された電子メールに関する記述のうち,適切なものはどれか。(R.5/問84)

ア:デジタル署名を受信者が検証することによって,不正なメールサーバから送信された電子メールであるかどうかを判別できる。
イ:デジタル署名を送信側メールサーバのサーバ証明書で受信者が検証することによって,送信者のなりすましを検知できる。
ウ:デジタル署名を付与すると,同時に電子メール本文の暗号化も行われるので,電子メールの内容の漏えいを防ぐことができる。
エ:電子メール本文の改ざんの防止はできないが,デジタル署名をすることによって,受信者は改ざんが行われたことを検知することはできる。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問3の正解を表示
問3の解説を表示

ア:デジタル署名を受信者が検証することによって,不正なメールサーバから送信された電子メールであるかどうかを判別できる。
⇒送信者のデジタル署名を検証しても、メールサーバの正当性を判別できるわけではありません。不正解です。

イ:デジタル署名を送信側メールサーバのサーバ証明書で受信者が検証することによって,送信者のなりすましを検知できる。
⇒デジタル署名は、送信者の秘密鍵を使用して生成し、検証には送信者の公開鍵を使用します。送信側メールサーバの公開鍵では検証できません。不正解です。

ウ:デジタル署名を付与すると,同時に電子メール本文の暗号化も行われるので,電子メールの内容の漏えいを防ぐことができる。
⇒デジタル署名では通信内容の暗号化を行うわけではありません。不正解です。

エ:電子メール本文の改ざんの防止はできないが,デジタル署名をすることによって,受信者は改ざんが行われたことを検知することはできる。
⇒デジタル署名は、公開鍵暗号方式により通信内容が改ざんされていないことを保証します。改ざんを防止しできるわけではありません。正解です。

これより、「エ」が正解です。

認証技術のまとめ

今回は認証技術について学習しました。

暗号化技術同様、認証技術にもいくつか方法があります。それぞれの手法や特徴、メリット・デメリットを押さえておくと本番で点数が取りやすくなります。

モナ
モナ
それぞれの認証方法の具体例も問われるから、しっかり覚えておこうね!

次回はセキュリティマネジメントについて学習します。

しかくのいろは
情報セキュリティの管理(ISMS・リスクマネジメント)【ITパスポート講座】
https://www.sikaku-no-iroha.co.jp/information-technology-examination/ipass/security-management-ipass
ITパスポートで問われる情報セキュリティ管理について説明していきます。リスクマネジメントやISMSについて押さえておきましょう。

本気でIパスを狙うなら・・・
スタディングがおすすめです!
  • お手頃価格で受講しやすい!
  • スマホ一台でどこでも勉強できる
  • AI問題演習機能で苦手な問題を効率よく学習!

オンライン資格講座 スタディング


スポンサーリンク







独学講義,ITパスポート試験

Posted by 佐野 孝矩