認証技術を整理しよう

2018年9月12日(水)
棚橋 英之

はじめに

SNSやクラウドサービスの利用、施設への入室管理など様々な場面で本人認証が要求されます。

昨今ではパスワード認証や指紋認証、スマートフォンなどを用いた様々な認証の仕組みが広く用いられており、安全にサービスを利用するためには認証技術への理解を深め、認証情報を適切に取り扱うことが重要となります。

情報処理安全確保支援士試験では午前/午後の双方で認証技術に関わる問題が多く出題されています。今回は、認証技術に関係する様々な問題とその問題に関連する項目について解説します。

午前Ⅱ問題を解いてみよう!

午前Ⅱ問題では、過去問題と類似した問題や同一の問題も出題されます。なぜ正しい解答が選択されるのか、間違いの選択肢も含めて解説できるレベルを目指しましょう。

平成30年度 春期 午前Ⅱ 問9(認証デバイス)

問9 認証デバイスに関する記述のうち,適切なものはどれか。

ア USBメモリにディジタル証明書を組み込み,認証デバイスとする場合は,そのUSBメモリを接続するPCのMACアドレスを組み込む必要がある。
イ 成人の虹彩は,経年劣化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。
ウ 静電容量方式の指紋認証デバイスは,LED照明を設置した室内では正常に認証できなくなる可能性が高くなる。
エ 認証に利用する接触型ICカードは,カード内のコイルの誘電起電力を利用している。

(ア)ディジタル証明書を組み込むため、PKIを用いた認証が考えられます。この時、MACアドレスを組み込む必要はありません。
(イ)虹彩認証は生体認証バイオメトリクス認証)の一種で、目の虹彩(瞳孔の外側の部分)による認証です。成人の虹彩は経年変化のない生体情報です。
(ウ)静電容量方式の指紋認証デバイスでは、画面に指で触れたときに発生する微弱な電流(静電容量)をセンサーで感知します。光情報を取得する光学式ではないため、照明の明かりに影響されません。
(エ)接触型ICカードは、半導体チップが埋め込まれており、カード表面の接点端子とカードリーダの端子が接触することにより電源供給や各種データのやりとりが発生します。

従って、正解は(イ)です。

本人であることを確認することを認証と呼びます。認証する手段には、一般的に表1に示す3つの要素が挙げられます(表1)。

表1:認証の要素

要素
知識 パスワード、PIN
所持品 ICカード、ハードウェアトークン
生体(バイオメトリクス) 指紋、虹彩

セキュリティ強度を高めるには、3つの要素から種類の異なるものを2つ以上用いることが推奨され、2つの要素を組み合わせた認証を二要素認証、複数の要素を組み合わせた認証を多要素認証と呼びます。例えば、銀行口座から預金を引き出す時のように、本人のみが知っている暗証番号(知識)と、本人のみが持っているキャッシュカード(所持品)を組み合わせれば多要素認証となります。

平成30年度 春期 午前Ⅱ 問12(送信ドメイン認証)

問12 スパムメールへの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。

ア 送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付加し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み
イ 受信側メールサーバにおいて利用者が認証された場合,電子メールの送信が許可される仕組み
ウ 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元のIPアドレスを検証する仕組み
エ ネットワーク機器において,内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する仕組み

DKIMDomainKeys Identified Mail)はディジタル署名を使用した送信ドメイン認証技術です。送信ドメイン認証を用いることで、なりすましメールを対策できます。

DKIMでは、事前にメールの送信側ドメインのDNSサーバにDKIMレコード(公開鍵が含まれる)を登録しておきます。メールの送信時に秘密鍵を用いてディジタル署名を作成し、電子メールのヘッダに付加します。受信側メールサーバでは、送信側のDNSサーバに登録されているDKIMレコードを入手し、DKIMレコード内にある公開鍵でディジタル署名を検証します。

従って、正解は(ア)です。

(イ)SMTP-AUTHの説明です。通常メール送信時にはSMTPプロトコルを用います。SMTPでは認証をしないため、パスワードを用いた認証を行う際に利用されます。
(ウ)SPFSender Policy Framework)の説明です。SPFも送信ドメイン認証技術の1つです。SPFでは、事前にメール送信側ドメインのDNSサーバにSPFレコード(送信元のIPアドレスが含まれる)を登録しておきます。受信側メールサーバでは、送信側のDNSサーバに登録されているSPFレコードと送信されてきたメールのIPアドレスを比較し、検証します。
(エ)OP25BOutbound Port 25 Blocking)の説明です。OP25BはISPなどが実施するスパムメール対策で、ISP管理外のメールサーバから外部へのポート25番への通信(SMTP:メール送信)を制限する仕組みです。OP25Bを利用すると、正規の利用者も制限されることがあるため、解決策としてサブミッションポート587番ポート)をSMTPのポート25番の代わりに利用します。

メール関連技術は出題率が高いので、各用語を確実に押さえておきましょう。特に送信ドメイン認証は午前/午後の両方で頻出のテーマです。

平成29年度 秋期 午前Ⅱ 問10(ディジタル証明書)

問10 ディジタル証明書に関する記述のうち,適切なものはどれか。

ア S/MIMEやTLSで利用するディジタル証明書の規格は,ITU-T X.400で標準化されている。
イ ディジタル証明書は,TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。
ウ 認証局が発行するディジタル証明書は,申請者の秘密鍵に対して認証局がディジタル署名したものである。
エ ルート認証局は,下位の認証局の公開鍵にルート認証局の公開鍵でディジタル署名したディジタル証明書を発行する。

(ア)ディジタル証明書の規格は、ITU-T X.509で国際標準として規定されています。
(イ)ディジタル証明書は、TLS/SSLなどで通信データの暗号化のための鍵交換や通信相手の認証に利用されています。
(ウ)認証局が発行するディジタル証明書は、申請者の公開鍵に対して認証局がディジタル署名をしたものです。
(エ)ルート認証局は、下位の認証局の公開鍵にルート認証局の秘密鍵でディジタル署名したディジタル証明書を発行します。

従って、正解は(イ)です。

PKIに関する問題も午前/午後問わず頻出です。公開鍵暗号方式ディジタル署名ディジタル証明書について関連技術も含めて整理しておきましょう。

PKIの学習には、IPAがまとめているPKI関連技術情報がお勧めです。

平成29年度 秋期 午前Ⅱ 問17(無線LANセキュリティ)

問17 無線LANの情報セキュリティ対策に関する記述のうち,適切なものはどれか。

ア EAPでは,クライアントPCとアクセスポイントとの間で,あらかじめ登録した共通鍵による暗号化通信を実現できる。
イ RADIUSでは,クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実現できる。
ウ SSIDは,クライアントPCごとの秘密鍵を定めたものであり,公開鍵暗号方式による暗号化通信を実現できる。
エ WPA2-Enterpriseでは,IEEE 802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実現できる。

(ア)EAPPPPを拡張した認証プロトコルです。複数の認証方式があります(表2)。

表2:EAPの認証方式

認証方式 クライアント認証 サーバ認証
EAP-MD5 パスワード認証 なし
EAP-PEAP パスワード認証 TLSサーバ証明書
EAP-TLS TLSクライアント証明書 TLSサーバ証明書

EAP-MD5はクライアント認証がパスワード認証である点、サーバ認証を行わないことから、なりすましのリスクがあり非推奨とされています。EAP-PEAPはTLSの証明書を用いてサーバ認証を行うため、安全性の高い運用が可能です。EAP-TLSはクライアントの認証にもTLSの証明書を用いるため、さらに高い安全性が確保できますが、導入のハードルがやや高いという特徴があります。

(イ)RADIUSはAAA(Authentication:認証Authorization:認可Accounting:アカウンティング)を実現する認証プロトコルです。IEEE802.1Xにおける認証の仕組みとして広く用いられています。

AAAについても整理しておきましょう(表3)。

表3:AAAについて

用語 特徴例
Authentication(認証) 本人を確認すること。二者間認証のことを指す。なお、認証局(Certification Authority)など第三者を交えた三者間認証をCertificationと呼ぶ
Authorization(認可) リソースへのアクセス権限を与えること。通常は認証と同時に与えられることが多いが、OAuthなどでは認証と切り離して扱われる
Accounting(アカウンティング) アクセスを記録し、ログ情報を保持すること

(ウ)SSIDESSID)は無線LAN環境における、アクセスポイントの識別子です。
(エ)WPA2は無線LANのセキュリティ規格です。無線LANにおける暗号化(表4)と認証(表5)について整理しておきましょう。

表4:無線LANセキュリティWEP、WPA、WPA2(暗号化)

セキュリティ規格 暗号化方式 暗号アルゴリズム
WEP WEP RC4
WPA TKIP
(CCMP)
RC4
(AES)
WPA2 CCMP AES

WEPは脆弱性が見つかっているため使用を禁止すべきです。WPAではTKIP、またはCCMPが選択できますが、暗号アルゴリズムAESを用いているCCMPが推奨されます。一般的に推奨されるセキュリティ規格と暗号化方式の組み合わせは、WPA-CCMP(WPA-AESと通常表記される)か、WPA2-CCMP(WPA2-AESと通常表記される)です。

表5:無線LANセキュリティWPA、WPA2(認証)

セキュリティ規格 対象
WPA-PSK Personal(個人向け)
WPA2-PSK Personal(個人向け)
WPA-EAP Enterprise(企業向け)
WPA2-EAP Enterprise(企業向け)
WPA-EAP、WPA2-EAPはIEEE802.1Xを使用する方法で、一般的にRADIUSサーバを用いて認証します。

従って、正解は(エ)です。

PCやスマートフォンなどからWi-Fiの設定を見るとどの規格を使っているかを確認できます。普段どのような規格を使っているのか、ぜひ確認してみてください。

午後Ⅰ問題を解いてみよう!

続いて、午後Ⅰ問題の過去問題を解いてみましょう。今回は平成29年度春期試験 午後Ⅰ問題 問3を解説します。必要に応じて、IPAが公開している本問題の解答採点講評も確認してください。

以下の解説では、問題文中のページ数を「Pxx」、図や表を「問題文中の図x、表x」と記します。

概要

標準化団体OASISによって策定されたSAMLSecurity Assertion Markup Language)を用いたクラウドサービスの認証連携に関する問題です。解答につながるヒントが文章中に多くあるため、文章をいかに読解できるかがポイントになります。

問題文の設定とストーリーをまとめると、以下のようになります。

  • 三つのクラウドサービスを利用している
  • 各クラウドサービスは社内からの利用に限定する社内ルールがある
  • クラウドサービスの利用にはプロキシサーバを経由する
  • 社外からの不正アクセスを確認
  • 暫定対策として三つの対策を実施
  • 根本的対策としてSAMLを用いた認証連携を検討
  • SAMLを用いた認証連携と接続元制限を動作検証後、開始

設問1

P14の問題文冒頭において、「これらのクラウドサービスには, 各クラウドサービスの利用者IDとパスワードを用いてログインする。これらのクラウドサービスは,社内からの利用に限定するという社内ルールを定めている。」という記述と「端末からクラウドサービスを利用する際には, プロキシサーバを経由する必要がある。」という記述があります。

また、P14[クラウドサービスへの不正アクセス]より、「F社で利用しているクラウドサービスではログイン記録として, アクセス日時, 利用者ID, 接続元IPアドレス, 接続先URLが記録されている」とあります。

これらより、クラウドサービスを利用する際は、社内ルールにより社内からプロキシサーバを経由して利用することになっています。接続元IPアドレスがF社のグローバルIPアドレスでない場合、社内ルールを順守していない不正なログインの可能性が考えられます。

従って、正解は「接続元IPアドレスがF社のグローバルIPアドレスではないこと」です。

設問2(1)

【空欄a】について
P16の上から3~4行目に「利用者にサービスを提供するサービスプロバイダ(以下, SPという)」と記述があります。

問題文中の図1から、空欄aが「(10)サービス提供」をしているため、(ウ)のSPが該当します。

【空欄b】について
P16の上から3~4行目に「利用者にサービスを提供するサービスプロバイダ(以下, SPという)」と記述があります。

問題文中の図1から、空欄bから空欄a(SP)に「(1)サービス要求」、空欄a(SP)が空欄bに対して「(10)サービス提供」をしているため、空欄bには利用者、すなわち、(エ)の利用者端末のWebブラウザが該当します。

【空欄c】【空欄d】について
問題文中の図1から、空欄cは「(3)ログイン画面要求」を受け、「(4)ログイン画面応答」を行った後、「(5)認証要求」を受けていますが、そのまま「(6)認証要求」を空欄dへ送っています。

ここから、空欄cはログイン画面を提供していますが、認証は行っていません。選択肢の中から、ログイン画面の提供を担うのはIdPであると考えられます。

また、P15の下から7~5行目に「クラウドサービスへログインする際, F社に既に設置してあるLDAPサーバでの認証を必要とすることにすれば, 接続元を制限できる」という記述と、同下から3~2行目に「クラウドサービスとLDAPサーバとの間で, SAMLを用いた認証連携による」と記述があります。

すなわち、認証はLDAPサーバで行っているため、「(6)認証要求」を受け、「(7)認証結果を応答」している空欄dはLDAPサーバであると考えられます。

よって、空欄cは(ア)のIdP、空欄dは(イ)のLDAPサーバです。

設問2(2)

【空欄eについて】
P16の空欄e付近の文章から、「空欄eで生成して送出するURL」とあります。

問題文中の表1の処理1~4中から処理の後にURLを生成して送出するものを選択すると、処理1が該当します。

【空欄fについて】
P16の空欄f付近の文章から、「空欄fにおいて必要なIdPのディジタル証明書などがある」とあります。

ディジタル証明書が必要ということは、その処理ではディジタル証明書の検証、ひいてはディジタル署名の検証が必要であると言えます。

問題文中の表1の処理3ではディジタル署名を含めたSAML Responseを生成しており、処理4ではその署名を検証しているため、処理4が該当します。

従って、eは「処理1」、fは「処理4」です。

設問2(3)

問題文中の表1の処理2に「URL内の空欄gからSAML Requestを取得する。」とあります。このSAML Requestは処理1で生成されてエンコードされた後、IdPのログイン画面のURLと組み合わせてリダイレクト先URLが作成されています。

これらから、リダイレクト先であるIdPを示すURL内にSAML Requestが含まれていることが読み取れ、以下のようなURLになることが考えられます。

URL例:https://idp_server/login?SAMLRequest=XXXXXXXXXXXXXXX
IdPのログイン画面のURLをhttps://idp_server/loginとした場合

各選択肢を確認してみましょう。

(ア)CookieはWebサーバが生成し、Webブラウザで保持する情報です。
(イ)HTMLはWebページを作成するために用いられるマークアップ言語です。
(ウ)クエリ文字列はWebブラウザからWebサーバへ送信するデータをURLの末尾に記載したものです。上記URLの「?より後ろ」を指します
(エ)スキームは枠組みや手段を示し、Web通信においては、プロトコルなどの通信方式を示します。上記のURLの「https」がスキームです。
(オ)リファラはあるWebサイトにアクセスしたリンク元のページです。

従って、gは(ウ)です。

設問2(4)

ディジタル署名を検証することで、メッセージ発信者のエンティティ認証とデータの改ざん検知ができます。

問題文中の表1の処理4から、「ディジタル署名が空欄hによって署名された」とあります。

ディジタル署名は問題文の表1中の処理3で行われています。問題文中の図1より、処理3を実行しているのは空欄cであるため、設問2(1)で導出したようにIdPが該当します。

問題文中の表1の処理4では「及びデータの空欄iがないことを確認」とあるため、データの改ざん検知が該当します。

従って、hは「IdP」、iは「改ざん」です。

設問2(5)

問題文中の表1より、処理1で作成されるSAML Requestには認証要求が含まれており、処理3で生成されるSAML Responseには認証結果が含まれています。

問題文中の図1より、SAML Requestは空欄a(SP)によって生成され(処理1)、空欄b(利用者端末のWebブラウザ)を経由して空欄c(IdP)に渡されています。また、SAML Responseは空欄c(IdP)によって生成され(処理3)、空欄b(利用者端末のWebブラウザ)を経由して空欄a(SP)に渡されています。

すなわち、WebブラウザがSP、IdPからの認証関連情報の転送を担っているため、IdPを社内ネットワークに設置しても認証情報の連携が成立します。

従って、解答例は「認証に関する情報を利用者端末のWebブラウザが中継するから」です。

設問3

P15の[暫定対策の実施と根本的な対策の検討]より「F社で利用しているクラウドサービスのうち, グループウェアサービスだけは, 接続元IPアドレスを制限する機能を備えていたので, その機能を有効化し, 社内からだけログインできるように設定した。しかし, 残りのクラウドサービスは接続元IPアドレスの制限機能を備えていなかった。」とあります。

交通費精算サービスは接続元IPアドレス制限機能のないクラウドサービスです。SAMLを用いた認証連携により、社外からのアクセスをどのように制限するのかを考えます。

P17の上から2行目に「IdPは社内ネットワークに設置し」とあり、P14の上から9行目に「社外から社内ネットワークへの通信はファイアウォールによって禁止されている。」とあります。よって、社外から社内ネットワークにあるIdPへの通信はファイアウォールによって遮断されます。

問題文中の図1より、利用者端末のWebブラウザが社外から接続を試みた場合、上記のルールにより(3)ログイン画面要求が遮断され、ログインに失敗します。

一方、グループウェアサービスは社内からのみログインできるようにされています。すなわち、社外にあるWebブラウザからグループウェアサービスへサービス要求を行ったとしても、接続元IPアドレスにより制限されます。

従って、解答例は表6のようになります。

表6:設問3の解答例

交通費精算サービス 番号 (3)
理由 社外からIdPへの通信がファイアウォールによって遮断されるから
グループウェアサービス 番号 (1)
理由 クラウドサービス側で接続元IPアドレスの制限が行われているから

おわりに

認証技術は多くのシステムや仕組みで身近に体感できる仕組みです。日々の生活の中で認証技術が使われているシーンを思い浮かべて、どこにどのような技術が使われているのか整理してみると良いでしょう。

次回は、Webシステムのセキュリティについて解説します。

NECマネジメントパートナー株式会社 人材開発サービス事業部
2009年日本電気株式会社入社。人材開発事業部門に所属し、Linuxシステム、Webプログラミング、セキュリティの教育を担当。近年では、官公庁や重要インフラ事業者へのCSIRT要員に対して、インシデント対応の演習を展開している。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています