FIDO UAF|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問1

出典:令和元年秋期 午前Ⅱ 問1 分野:セキュリティ / 情報セキュリティ
認証処理のうち,FIDO(Fast IDentity Online)UAF(Universal Authentication Framework)1.1に基づいたものはどれか。
  • ア:SaaS接続時の認証において,PINコードとトークンが表示したワンタイムパスワードとをPCから認証サーバに送信した。
  • イ:SaaS接続時の認証において,スマートフォンで顔認証を行った後,スマートフォン内の秘密鍵でデジタル署名を生成して,そのデジタル署名を認証サーバに送信した。
  • ウ:インターネットバンキング接続時の認証において,PCに接続されたカードリーダーを使って,利用者のキャッシュカードからクライアント証明書を読み取って,そのクライアント証明書を認証サーバに送信した。
  • エ:インターネットバンキング接続時の認証において,スマートフォンを使い指紋情報を読み取って,その指紋情報を認証サーバに送信した。
解説

FIDO UAFは、パスワードをサーバに送信するのではなく、利用者の端末内で生体認証などを行い、端末内の秘密鍵で生成したデジタル署名を使って認証する仕組みです。

認証サーバには、顔情報や指紋情報そのもの、秘密鍵そのものは送信されません。スマートフォンで顔認証を行った後、スマートフォン内の秘密鍵でデジタル署名を生成し、その署名を認証サーバに送信する処理が、FIDO UAFの考え方に合っています。

FIDO UAF

したがって、が適切です。

❌他選択肢が誤りの理由
ア:SaaS接続時の認証において,PINコードとトークンが表示したワンタイムパスワードとをPCから認証サーバに送信した。
⇒PINコードとワンタイムパスワードをサーバへ送信する認証方式です。FIDO UAFは、端末内で利用者を認証し、秘密鍵によるデジタル署名を使って認証する方式であり、OTPを送信する方式とは異なります。
ウ:インターネットバンキング接続時の認証において,PCに接続されたカードリーダーを使って,利用者のキャッシュカードからクライアント証明書を読み取って,そのクライアント証明書を認証サーバに送信した。
⇒クライアント証明書を用いた認証に関する説明です。証明書によって利用者や端末を確認する仕組みではありますが、端末内の秘密鍵で署名を生成して認証するFIDO UAFの説明ではありません。
エ:インターネットバンキング接続時の認証において,スマートフォンを使い指紋情報を読み取って,その指紋情報を認証サーバに送信した。
⇒FIDO UAFでは、指紋情報などの生体情報そのものを認証サーバへ送信しません。生体情報は端末内での利用者確認に使い、認証サーバには秘密鍵で生成したデジタル署名を送信する点が重要です。
TSUNAGARU-ADVICE

まず押さえたいこと

FIDO UAFは、端末内で生体認証などを行い、認証結果として秘密鍵でデジタル署名を生成し、その署名をサーバ側で検証する仕組みです。重要なのは、生体情報そのものは認証サーバに送らない点です。

迷ったときの判断軸

PINコードとワンタイムパスワードを送る方式や、クライアント証明書を送る方式はFIDO UAFの説明ではありません。また、指紋情報をそのまま認証サーバへ送信するのも不適切です。FIDO UAFでは、端末内で本人確認を行い、秘密鍵による署名を送ると判断しましょう。

科目Bにつなげるために

科目Bでは、生体認証・秘密鍵・公開鍵・認証サーバの役割を整理する問題が出ることがあります。FIDOでは、サーバ側は公開鍵で署名を検証し、端末側の秘密鍵は外へ出さないため、パスワードや生体情報をサーバに預けない認証として理解しておきましょう。