FIDO2(WebAuthn/CTAP)|情報処理安全確保支援士 シラバス準拠予想問題Ⅰ 問17
出典:3-8:アカウント管理及びアクセス管理|認証情報の割当て及び管理に関する知識
分野:セキュリティ / セキュリティ実装技術
FIDO2(WebAuthn/CTAP)の説明として,最も適切なものはどれか。
- ア:Webサイトへのログインにおいて,認証器に保持された秘密鍵と,サービス側に登録された公開鍵を用い,パスワードに依存しない認証を実現する標準規格である。
- イ:認証済みの利用者情報を複数のWebサービス間で連携し,シングルサインオンを実現するためのXMLベースの認証情報交換仕様である。
- ウ:利用者がリソース所有者として,パスワードを連携先に渡さずに,第三者アプリケーションへ限定的なアクセス権限を委任するための枠組みである。
- エ:一定時間ごと又は認証要求ごとに変化する使い捨ての値を,パスワードに加えて入力させることで認証強度を高める方式である。
TSUNAGARU-ADVICE
まず押さえたいこと
FIDO2は、WebAuthnとCTAPを中心とした、パスワードに依存しない認証を実現する標準規格です。認証器に秘密鍵を保持し、サービス側に登録された公開鍵で署名を検証することで、秘密鍵や生体情報をサービス側へ送らずに認証する点が重要です。
迷ったときの判断軸
XMLベースで認証情報を交換してSSOを実現するものはSAML、第三者アプリケーションへ限定的なアクセス権限を委任するものはOAuth、使い捨ての値を入力するものはワンタイムパスワードです。FIDO2は、公開鍵暗号を用いたパスワードレス認証と判断しましょう。
科目Bにつなげるために
科目Bでは、フィッシング耐性のある認証や、パスワード漏えいリスクを下げる仕組みとしてFIDO2が問われることがあります。認証器・秘密鍵・公開鍵・チャレンジ・署名検証の関係を押さえ、サーバ側にパスワードを保存しない認証方式として整理しておきましょう。
FIDO2は、WebAuthnとCTAPを組み合わせて、Webサイトなどへのパスワードに依存しない認証を実現する標準規格です。
利用者側の認証器には秘密鍵が保持され、サービス側には対応する公開鍵が登録されます。ログイン時には、認証器が秘密鍵で署名を生成し、サービス側が公開鍵で検証することで本人確認を行います。秘密鍵がサービス側へ送られない点も重要です。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:認証済みの利用者情報を複数のWebサービス間で連携し,シングルサインオンを実現するためのXMLベースの認証情報交換仕様である。
⇒SAMLの説明です。SAMLは、認証済みの利用者情報をXML形式で交換し、シングルサインオンを実現するための仕様です。FIDO2は、公開鍵暗号を用いてパスワードに依存しない認証を行う標準規格です。
ウ:利用者がリソース所有者として,パスワードを連携先に渡さずに,第三者アプリケーションへ限定的なアクセス権限を委任するための枠組みである。
⇒OAuth 2.0の説明です。OAuth 2.0は認可の枠組みであり、第三者アプリケーションへ限定的なアクセス権限を委任するために使われます。FIDO2は、Webサイトへのログイン時の本人認証に関する規格です。
エ:一定時間ごと又は認証要求ごとに変化する使い捨ての値を,パスワードに加えて入力させることで認証強度を高める方式である。
⇒ワンタイムパスワードの説明です。ワンタイムパスワードは、パスワードに加えて使い捨ての値を入力させることで認証強度を高めます。FIDO2は、パスワードに使い捨ての値を追加する方式ではなく、認証器内の秘密鍵とサービス側の公開鍵を用いる認証方式です。