[情報セキュリティマネジメント試験]認証技術[無料講座・例題付き!]

2021年4月22日

今回は情報セキュリティマネジメント試験で問われる認証技術について学習します。

くろん
くろん
なりすましって1対1で通信を行うだけでなく、ログインとかでもできそうだにゃ?
モナ
モナ
それを防ぐために認証技術があるニャ!

認証

情報セキュリティの定義の一つ、機密性を維持するためには限られた人のみがアクセスする必要があり、認証が欠かせません。

認証技術としては大きく分けて以下の3つがあります。

利用者認証

利用者認証ではアクセスしている人が本人なのかを認証します。

別名ユーザ認証本人認証とも言います。本人しか持ちえないトークンを利用したワンタイムパスワードや、画像を用いたCHAPCHAを活用します。

ワンタイムパスワード

ワンタイムパスワードは一時的に利用できる使い捨てのパスワードです。

トークンなど本人しか持ちえない端末上に表示され、ワンタイムパスワードを万が一盗聴されても期限が切れてしまえば再利用されることはありません。

カズ
カズ
最近はスマホアプリでも色々出てるよね!

CHAPCHA

CHAPCHAはゆがんだ文字列のような、人は認識できてもプログラムでは認識できないような文字を認識させるシステムです。

コンピュータでの不正ログインを防ぐ効果があります。

メッセージ認証

メッセージ認証はメールなどのメッセージ情報に改ざんが無いかを確認します。

メッセージ認証符号や、以前学習したディジタル署名が含まれます。

メッセージ認証符号

メッセージ認証符号は、通信データの改ざんなしを確かめるための暗号データです。

共通鍵暗号方式もしくはハッシュ関数を用います。

ディジタル署名

ディジタル署名もメッセージの改ざんがないかどうかを確認する手段でした。

公開鍵暗号方式を使う点、メッセージ認証符号ではできないなりすましにも対策できる点を押さえておきましょう。

キュー
キュー
忘れてしまった人は以下の記事で復習してな

時刻認証

時刻認証は時刻が改ざんされていないかを認証します。

ファイル保存時刻やログの改ざんの有無を確認することで認証を行います。

一例としてタイムスタンプがあります。

タイムスタンプ

タイムスタンプはファイルの時刻の改ざんなしを確認できるもので、第三者機関である時刻認証局(TSA)から発行される時刻情報です。

アナログ的な例に例えると郵便局の消印が該当します。

タイムスタンプを活用することで

  • 存在時刻・・・いつからファイルが存在していたか
  • 改ざんなし・・・現在までファイルが書き換えられていない
  • 否認防止・・・証拠を「知らない」と言い訳することを防ぐ

の3つの効果が期待できます。

スポンサーリンク

認証技術・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

ワンタイムパスワードを用いることによって防げることはどれか。(iPass H.27/春)

ア 通信経路上におけるパスワードの盗聴
イ 不正侵入された場合の機密ファイルの改ざん
ウ 不正プログラムによるウイルス感染
エ 漏えいしたパスワードによる不正侵入

問2

Webサイトで利用されるCAPTCHAに該当するものはどれか。(H.31/春)

ア 人からのアクセスであることを確認できるよう,アクセスした者に応答を求め,その応答を分析する仕組み
イ 不正なSQL文をデータベースに送信しないよう,Webサーバに入力された文字列をプレースホルダに割り当ててSQL文を組み立てる仕組み
ウ 利用者が本人であることを確認できるよう,Webサイトから一定時間ごとに異なるパスワードを要求する仕組み
エ 利用者が本人であることを確認できるよう,乱数をWebサイト側で生成して利用者に送り,利用者側でその乱数を鍵としてパスワードを暗号化し,Webサイトに送リ返す仕組み

解説(クリックで展開)

認証技術・まとめ

今回は認証技術について学習しました。

認証方式にも種類があり、それぞれの技術で何を認証できるか確認しておきましょう。

カズ
カズ
それぞれの認証技術の得意分野とできない分野を押さえておこう!

次回は利用者認証について掘り下げて学習します。


スポンサーリンク