情報処理安全確保支援士試験 令和6年秋期午前Ⅱ FIDO
出典:令和6年秋期 午前Ⅱ 問7
分野:セキュリティ / 情報セキュリティ
あるIdP(Identity Provider)は,パスキー(Passkey)認証をサポートしており,利用者Aは,このIdPのFIDO認証器として,自分のスマートフォンの生体認証機能を登録してある。また,WebサーバBは,このIdPを使ってログインが可能である。利用者AのWebブラウザからWebサーバBにアクセスする際,利用者Aの生体情報を受信するもの,受信しないものの組合せのうち,適切なものはどれか。
| 利用者AのWebブラウザ | WebサーバB | IdP | |
| ア | 受信しない | 受信しない | 受信しない |
| イ | 受信しない | 受信する | 受信する |
| ウ | 受信する | 受信しない | 受信しない |
| エ | 受信する | 受信する | 受信する |
- ア:
- イ:
- ウ:
- エ:
TSUNAGARU-ADVICE
まず押さえたいこと
パスキー認証では、生体情報そのものをWebサーバやIdPに送るのではなく、生体認証はスマートフォンなどのFIDO認証器内で完結する点が重要です。
迷ったときの判断軸
利用者の指紋や顔などの生体情報は、本人確認のために端末内で使われるだけで、Webブラウザ・WebサーバB・IdPには送信されません。外部に送られるのは、認証器が秘密鍵で生成した署名などであり、生体情報そのものはどこにも送られないと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、認証の仕組みを「何で本人確認するか」だけでなく、どの情報が端末内に残り、どの情報がネットワーク上を流れるのかまで読み取る力が問われます。パスキーやFIDOでは、生体情報ではなく公開鍵暗号による認証結果がやり取りされると理解しておきましょう。
FIDO(Fast Identity Online:ファイド)は、FIDOアライアンスという業界団体が決めている、パスワードを使わずにログインするための認証方式です。これまでのようにパスワードを入力して本人確認をするのではなく、公開鍵暗号方式を使った「パスキー」という認証情報で、安全にログインできるようにします。
パスワード認証と比べると、下記の特徴があります。
FIDO認証の構成要素は、FIDOサーバ・RPサーバ・クライアント・認証器の4つです。
設問では、IdPがFIDOサーバ、WebサーバBがRPサーバ、Webブラウザがクライアント、スマートフォンに組み込まれた生体認証機能が認証器に相当します。FIDO認証(FIDO2)の手順は次のとおりです。
生体情報はWebブラウザ・Webサーバ・IdPいずれの要素にも受信されません。
よって、アが適切です。