情報処理安全確保支援士試験 令和7年秋期午前Ⅱ NIST SP 800-63-3
出典:令和7年秋期 午前Ⅱ 問11
分野:セキュリティ / 情報セキュリティ
NIST SP 800-63-3で定義されているIdentity Proofingに該当するものはどれか。
- ア:システムに利用者を登録する際に,利用者本人と写真付き身分証とを照合し,確認する。
- イ:システムに利用者を登録する際に,利用者本人の希望する利用者IDが既に別の利用者に利用されていないかどうかを確認する。
- ウ:利用者がシステムにログインした際に,システムから利用者に電子メールを送信し,ログインしたことを利用者本人に確認させる。
- エ:利用者がシステムにログインする際に,利用者の入力した利用者ID及びパスワードとシステムに登録されている情報とを照合し,利用者本人かどうかを確認する。
TSUNAGARU-ADVICE
まず押さえたいこと
Identity Proofingは、利用者がシステムを使い始める前の段階で、名乗っている人物が本当にその本人かを確認することです。ログイン時の認証ではなく、登録時の本人確認だと捉えることが重要です。
迷ったときの判断軸
この用語は、利用者IDの重複確認やログイン後の通知ではなく、本人と身分証などを照合して実在性を確認する場面に対応します。したがって、登録時に本人と写真付き身分証を照合する説明が最も適切です。
科目Bにつなげるために
科目Bでは、本人確認、登録、認証、ログイン後確認といった各工程を、いつ・何のために行うのかで切り分ける力が問われます。用語だけで覚えるのではなく、利用開始前の確認なのか、利用中の認証なのかまで整理して理解しておくことが重要です。
NIST SP 800-63-3のIdentity Proofingは、利用者に認証情報(クレデンシャル)を発行する前段階として、登録時(オンボーディング時)に利用者が本人であることを確認する手続を指します。
典型例が、対面やオンラインでの本人確認(身分証の提示、顔写真との照合など)です。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:システムに利用者を登録する際に,利用者本人の希望する利用者IDが既に別の利用者に利用されていないかどうかを確認する。
⇒IDの重複確認は、アカウント管理上の確認であり、本人確認ではありません。
ウ:利用者がシステムにログインした際に,システムから利用者に電子メールを送信し,ログインしたことを利用者本人に確認させる。
⇒ログイン後にメールで通知するのは、利用者への通知や不正検知の補助であり、本人確認手続そのものではありません。
エ:利用者がシステムにログインする際に,利用者の入力した利用者ID及びパスワードとシステムに登録されている情報とを照合し,利用者本人かどうかを確認する。
⇒IDとパスワード照合は、登録後の認証(Authentication)であり、Identity Proofingではありません。