IT PASSPORT
ITパスポートの問題解説
問題
ふだんと異なる国からのアクセスや見慣れない端末からのログインなど、状況のリスクが高いと判断したときにだけ追加の本人確認を求める認証の仕組みはどれか。
- ア リスクベース認証
- イ チャレンジレスポンス認証
- ウ シングルサインオン
- エ コールバック
出典:オリジナル問題|参考範囲:IPA ITパスポート試験シラバス(最新版)、情報処理技術者試験の基礎知識
正解と解説
正解:リスクベース認証
解説:リスクベース認証は、ログイン時のアクセス元の国やIPアドレス、利用端末、時間帯、ふだんの行動パターンなどの情報からそのアクセスの危険度を評価し、いつもと変わらない安全な状況なら通常のログインだけで通し、不審だと判断したときにだけワンタイムパスワードや秘密の質問などの追加認証を求める仕組みです。常に厳重な認証を課すと利用者の手間が大きくなりますが、この方式なら利便性と安全性のバランスをとれます。不正ログインやアカウント乗っ取りの抑止に効果があり、オンラインバンキングなどで広く使われています。
覚え方:『リスク(危険度)に応じて』認証の強さを変える、が名前のとおりの核心です。いつもどおりなら軽く、怪しいときだけ厳しく、と覚えましょう。
他の選択肢はなぜ違う?
- イチャレンジレスポンス認証は、サーバが出す乱数(チャレンジ)に対し計算結果(レスポンス)を返してパスワードを盗聴されにくくする方式で、状況のリスクに応じて追加確認を求める仕組みではありません。
- ウシングルサインオンは一度の認証で複数サービスを利用可能にする仕組みで、リスクの高さに応じて確認を追加するものではありません。
- エコールバックは登録済みの番号へかけ直して本人確認する方式で、アクセス状況のリスクを評価して追加認証を出し分けるリスクベース認証とは異なります。
この問題について
IPAのITパスポート試験シラバスとIT基礎知識を参考に、Sikaku Master向けに独自作成した問題です。公式試験問題・過去問題の転載ではありません。
IPAの過去問題の転載ではなく、シラバス・公開情報に基づく独自問題として作成しています。