基本情報技術者過去問題 平成31年春期 午後問1

問題文解答用紙を別タブで開けます(印刷可能)。

問1 情報セキュリティ

クラウドサービスの利用者認証に関する次の記述を読んで,設問1,2に答えよ。

 A社では現在,Webベースの業務システムが複数稼働しており,それぞれが稼働するサーバ(以下,業務システムサーバという)を社内LANに設置している。A社のネットワーク構成を,図1に示す。
 利用者は,業務システムを,社内LANに設置されたクライアントPCのWebブラウザから利用する。社外から社内LANへのリモートアクセスは禁止されている。業務システムの利用者認証は,A社認証サーバでの利用者IDとパスワード(以下,この二つを併せて利用者認証情報という)の検証によって行っており,シングルサインオンを実現している。
 社内LANからインターネットを介した社外への通信は,クライアントPCからプロキシサーバを経由した,HTTP over TLS(以下,HTTPSという)による通信だけが,ファイアウォールによって許可されている。社外からインターネットを介した社内LANへの通信は,全てファイアウォールによって禁止されている。ファイアウォールの設定は,A社のセキュリティポリシに基づき変更しないものとする。

〔クラウドサービスの利用者認証〕
 このたびA社は,業務システムの一つである販売管理システムを,B社がインターネットを介して提供する販売管理サービス(以下,B社クラウドサービスという)に移行することにした。利用者認証に関しては,A社認証サーバとB社クラウドサービスを連携し,次の(1)〜(3)を実現することにした。
  • B社クラウドサービスをシングルサインオンの対象とする。
  • A社の利用者認証は,B社クラウドサービスについても,A社認証サーバで行う。
  • 利用者が本人であることを確認するためにA社認証サーバで用いるaは,B社クラウドサービスには送信しない。
 (1)〜(3)を実現するために,A社は,利用者認証を仲介するIDプロバイダ(以下,IdPという)を社内LANに設置することにした。IdPは,認証結果,認証有効期限及び利用者ID(以下,これら三つを併せて認証済情報という)にディジタル署名を付加してから,Webブラウザを介して,B社クラウドサービスに送信する。B社クラウドサービスは,付加されているディジタル署名を使って,受信した認証済情報にbがないことを検証する。このために,IdPのcをB社クラウドサービスに登録しておく。
 WebブラウザとB社クラウドサービスとの間,及びWebブラウザとIdPとの間の通信には,HTTPSを用いる。IdPとA社認証サーバとの間の通信にはLDAPを用いる。

〔B社クラウドサービスが利用可能になるまでの処理の手順〕
 A社の利用者が,利用者認証されていない状態で,B社クラウドサービスを利用しようとした場合に,利用可能になるまでの処理の手順を次の①〜Iに示す。
  1. 利用者は,WebブラウザからB社クラウドサービスにアクセスの要求を送信する。
  2. B社クラウドサービスは,アクセスの要求をIdPに転送する指示(以下,転送指示という)を,Webブラウザに返信する。
  3. Webブラウザは,②の転送指示に従い,IdPにアクセスの要求を送信する。
  4. IdPは,利用者認証情報の入力画面をWebブラウザに返信する。
  5. 利用者は,Webブラウザで利用者認証情報を入力する。Webブラウザは,入力された利用者認証情報をIdPに送信する。
  6. IdPは,利用者認証情報をA社認証サーバに送信する。
  7. A社認証サーバは,利用者認証情報を検証し,認証結果をIdPに返信する。
  8. IdPは,認証結果が成功の場合に,認証済情報を発行し,当該情報のB社クラウドサービスへの転送指示とともに,Webブラウザに返信する。
  9. Webブラウザは,⑧の転送指示に従い,認証済情報をB社クラウドサービスに送信する。
  10. B社クラウドサービスは,認証済情報に基づいて,B社クラウドサービスの利用を許可し,操作画面をWebブラウザに返信する。

 B社クラウドサービスが利用可能になるまでの処理の流れを,図2に示す。図2中の①〜Iは,処理の手順の①〜Iと対応している。

設問1

本文中の に入れる適切な答えを,解答群の中から選べ。
a,b,c に関する解答群
  • PKI
  • 改ざん
  • 公開鍵
  • サービス妨害
  • 生体認証
  • パスワード
  • 秘密鍵
  • 利用者ID

解答選択欄

  • a:
  • b:
  • c:

解答

  • a=
  • b=
  • c=

解説

aについて〕
aは、利用者本人であることを確認するためにA社認証サーバで用いているものです。A社認証サーバでは利用者IDとパスワードの組合せによって利用者認証を行っているので、aには利用者IDまたはパスワードのいずれかが入ります。

本文中に「IdPは,認証結果,認証有効期限及び利用者IDにディジタル署名を付加してから,…B社クラウドサービスに送信する。」とあることから、認証プロセス中に利用者IDをB社クラウドサービスに送信する仕様になっていることがわかります。したがって、aにはもう一方のパスワードが入ります。

a=カ:パスワード

bについて〕
aは、ディジタル署名を使って検証できるものが入ります。ディジタル署名の機能は「改ざんの検知」と「送信者の正当性の確認」なので、文脈と選択肢から改ざんが適切とわかります。

b=イ:改ざん

cについて〕
ディジタル署名の手順は以下の通りです。
  1. 送信者は、平文をハッシュ関数で圧縮したメッセージダイジェストを送信者の秘密鍵で暗号化し、平文と一緒に送信します。
  2. 受信者は、受信したメッセージダイジェストを送信者の公開鍵で復号し、受信した平文をハッシュ関数で圧縮したものと比較します。
  3. 一つの平文からハッシュ関数によって生成されるメッセージダイジェストは常に同じになるため、送信者から送られてきたメッセージダイジェストと、受信側でハッシュ化したメッセージダイジェストが同じなら、通信内容が改ざんされていないことが証明されます。
pm01_3.gif/image-size:537×241
本問では、A社IdPが認証済情報にディジタル署名を付加してから、B社クラウドサービスに送信する手順になっています。認証済情報に付されたディジタル署名はA社IdPの秘密鍵で暗号化されているので、B社クラウドサービス側で行うディジタル署名の検証には「IdPの公開鍵」が必要になります。したがって、B社クラウドサービスに登録しておくのはIdPの公開鍵です。

c=ウ:公開鍵

設問2

次の記述中の に入れる適切な答えを,解答群の中から選べ。

 B社クラウドサービスでは,接続元のIPアドレスをA社のものに限定する機能は提供されていない。しかし,他の業務システムと同様に,B社クラウドサービスを,社内LANからの利用に限定できる。
 この理由は,dことが必要であるが,IdPを社内LANに設置するので,社外からB社クラウドサービスを利用しようとしても,図2中のeの送信で失敗し,利用者認証されないからである。
d に関する解答群
  • B社クラウドサービスが,IdPと直接通信する
  • B社クラウドサービスが,利用者認証情報を検証し,Webブラウザに返信する
  • IdPが,利用者に代わって,利用者認証情報をB社クラウドサービスに送信する
  • Webブラウザが,IdPと通信する
e に関する解答群
  • @
  • B
  • D
  • E
  • I

解答選択欄

  • d:
  • e:

解答

  • d=
  • e=

解説

dについて〕
  • 図2のシーケンス図を見てもわかるように、B社クラウドサービスとIdPは直接通信を行うことはありません。
  • 利用者認証情報(利用者IDとパスワード)を検証するのはA社認証サーバです。認証結果はA社IdPに返されます。
  • IdPが生成した認証済情報は、Webブラウザへの転送指示を介してB社クラウドサービスに送信されます。
  • 正しい。処理手順③〜⑤及び⑧で、WebブラウザとIdPは直接通信します。これを無くしてB社クラウドサービスとのシングルサインオンは実現できません。
d=エ:Webブラウザが,IdPと通信する

eについて〕
A社では、社外から社内LANへのリモートアクセスが禁止されています。また、社外からインターネットを介した社内LANへの通信は、全てファイアウォールによって禁止されています。これにより、各業務システムと通信できるのは社内LANのみに限定されています。

社外の端末からB社クラウドサービスを利用する場合を考えると、以下のようになります。
  1. 利用者は、WebブラウザからB社クラウドサービスにアクセスの要求を送信する。
    →B社クラウドサービスでは、接続元のIPアドレスを制限していないので禁止されない。
  2. B社クラウドサービスは、アクセス要求をIdPに転送する指示を、Webブラウザに返信する。
  3. Webブラウザは、②の転送指示に従い、IdPにアクセスの要求を返信する。
    →インターネットを介した社内LANへの通信となるので、ファイアウォールで遮断される。
社外からB社クラウドサービスを利用しようとしても、社内に設置されているIdPと通信する③の段階で送信が失敗し、利用者認証を受けられません。B社クラウドサービスの利用者認証はA社認証サーバで行われるため、社内LANとの通信ができなければB社クラウドサービスの利用もできません。この理由により、B社クラウドサービスを(IdPと通信可能な)社内LANからの利用に限定できます。

e=イ:③

平成31年春期 午後問題一覧

問1 問2 問3 問4 問5 問6 問7 問8 問9 問10 問11 問12 問13 採点講評
© 2010-2020 基本情報技術者試験ドットコム All Rights Reserved.

Pagetop