<p>データディクショナリ（DD）は、データベースに関する管理情報をまとめたものです。データそのものではなく、「データベースがどのような構造になっているか」を示すメタデータを格納します。</p> <p>たとえば、次のような情報がデータディクショナリに登録されます。</p> <table> <thead> <tr> <th>情報</th> <th>内容</th> </tr> </thead> <tbody> <tr> <td>スキー｜情報処理安全確保支援士試験令和7年春期午前Ⅱ 問16

出典：令和7年春期午前Ⅱ 問16 分野：セキュリティ／セキュリティ実装技術

OAuth2.0に関する記述のうち，適切なものはどれか。

ア：認可を行うためのプロトコルであり，認可サーバが，アクセスしてきた者が利用者（リソースオーナー）本人であるかどうかを確認するためのものである。
イ：認可を行うためのプロトコルであり，認可サーバが，利用者（リソースオーナー）の許可を得て，サービス（クライアント）に対し，適切な権限を付与するためのものである。
ウ：認証を行うためのプロトコルであり，認証サーバが，アクセスしてきた者が利用者（リソースオーナー）本人であるかどうかを確認するためのものである。
エ：認証を行うためのプロトコルであり，認証サーバが，利用者（リソースオーナー）の許可を得て，サービス（クライアント）に対し，適切な権限を付与するためのものである。

この問題を解く

解説

OAuth 2.0は、認可のためのプロトコルです。

利用者（リソースオーナー）の許可に基づいて、サービス（クライアント）に対し、APIなどのリソースへアクセスするための権限を付与します。

認可サーバはアクセストークンを発行し、クライアントはそのトークンを用いてリソースサーバへアクセスします。

したがって、イが適切です。

❌他選択肢が誤りの理由
ア：認可を行うためのプロトコルであり，認可サーバが，アクセスしてきた者が利用者（リソースオーナー）本人であるかどうかを確認するためのものである。
⇒認可ではなく、本人確認を中心に説明している点で違います。OAuth 2.0は認証ではなく、認可のためのプロトコルです。

ウ：認証を行うためのプロトコルであり，認証サーバが，アクセスしてきた者が利用者（リソースオーナー）本人であるかどうかを確認するためのものである。
⇒認証を行うためのプロトコル、という点で違います。これはOpenID Connectなどの説明に近いです。

エ：認証を行うためのプロトコルであり，認証サーバが，利用者（リソースオーナー）の許可を得て，サービス（クライアント）に対し，適切な権限を付与するためのものである。
⇒権限付与の説明自体は近いですが、認証ではなく認可である点で違います。

TSUNAGARU-ADVICE

OAuth 2.0は、利用者本人かどうかを確認するための認証プロトコルではなく、利用者の許可に基づいてクライアントへ権限を付与するための認可プロトコルです。

OAuth 2.0では、リソースオーナーがクライアントに対して、保護されたリソースへのアクセスを許可する流れを考えます。したがって、本人確認が主目的なら認証、アクセス権限の付与が主目的なら認可と切り分けると判断しやすくなります。

科目Bでは、ログインできるかどうかだけでなく、誰が、どのサービスに、どの範囲のアクセス権を与えているのかを読み取る力が問われます。OAuth 2.0は、認証ではなく認可の仕組みとして理解しておきましょう。