平成28年度応用情報技術者試験の必須問題である、情報セキュリティの問題を、解き方の流れを重点的に解説しました。
IPA公式の過去問を見ながら、読んでみてください。
問1 生体認証システムの導入に関する次の記述を読んで, 設問1~3に答えよ。
アプローチ方法
設問をまず先に読みます。この時点で既に解けるものが多いので、解けるものは解いてしまいましょう。
解けないものに関しても、まず設問を先に読むことによって、着目すべき箇所を意識して取り組むことができます。
設問1
設問1 [不正アクセス予防策の実施]について, (1), (2)に答えよ。
設問1は、穴埋め問題です。まずは設問中の[ a ]、[ b ]について、問題文から探し出し、キーワードを探ってみましょう。
(1)
(1) 表1中の[ a ]に入れる最も適切な予防策を解答群の中から選び, 記号で答えよ。
表1は、4ページの下部に掲載されている、「予想される不正アクセス」と「予防策」を対にした表であることがわかります。
[ a ]は、「他の従業員が, ログインが成功するまでパスワードを変えて試行する。」という不正アクセスの予防策です。
解答群を順に見ていきましょう。
- ア 業務システムとPCとの通信を暗号化する
これは、通信経路上のパケット盗聴、改ざんなどの予防策です。身近なところでは、https(SSL)などが挙げられます。ログイン試行の予防にはなりませんので誤りです。
- イ 直前のログイン記録を次回ログイン時に表示する。
ログイン履歴を残すことによって、自分以外の何者かがログインしたことを察知しやすくなります。不正アクセス自体を防ぐことは出来ませんので、誤りです。
- ウ パスワードを3回続けて間違えると, アカウントをロックする。
「ログインが成功するまで」の試行回数を3回に制限することで、3回を超える試行に対するリスクを回避することができますので、適切です。
- エ ログインエラーが発生した日時を本人にメールで後日通知する。
選択肢イと同じ理由で誤りです。
以上から、本問の解答は、「ウ」となります。
(2)
(2) 表1中の[ b ]に入れる適切な予防策を解答群の中から二つ選び, 記号で答えよ。
引き続き、不正アクセスに対する予防策を答える問題です。「他の従業員がパスワードを類推してIDを使用する。」とあります。解答群を見ていきます。
- ア IDと同じ文字列をパスワードに含めることを禁止する。
IDと同じ文字列がパスワードに設定されていると、IDからパスワードを類推できてしまうので、これを禁止することは予防策として適切です。
- イ 英字, 数字, 記号が混在する8文字以上のパスワードを設定させる。
英字だけや数字だけの場合に比べ、類推できる確率が下がります。名前である「yamadatarou」や誕生日の「0101」のみだと容易に推測されてしまいますが、「yamadatarou!0101@」であれば組み合わせのパターンが爆発的に増えることとなり、結果としてパスワード類推を困難にさせますので、適切な対策です。
- ウ 他人とのパスワード共有を禁止する。
「パスワードの類推」を予防しているわけではありませんので、誤りです。
- エ パスワードのヒントを設定して, 自分だけが知っている答えをパスワードの一部に使用する。
むしろ、パスワードのヒントからパスワードを類推されてしまう可能性が生じます。誤りです。
以上から、本問の解答は「ア、イ」となります。
設問1のまとめ
このように、穴埋め問題は、問題文を読まなくても解ける問題が多いです。設問から先に読むことで、余計な文を読解する時間を節約できる可能性があります。
設問2
表2中の[ c ]に入れる適切な字句を解答群の中から選び, 記号で答えよ。
基礎知識を問う問題です。まずは、表2の[ c ]を探してみましょう。
5ページの下部、認証方式を検討する表の「導入時の注意事項」欄に、「新たに [ c ] の導入が必要となる」とあります。周りの情報から、「ICカード方式」「ICカードに埋め込んだ秘密鍵とPINコード」といったキーワードを読み取ることができます。これをもとに解答群を見ていきましょう。
- ア LDAP
Lightweight Directory Access Protocolの略で、ディレクトリ・サービスに接続するために使用される通信プロトコルと定義されています。本問はICカード方式に対する問題ですので、関係がなさそうに見えます。
- イ PKI
Public Key Infrastructureの略で、公開鍵基盤と呼ばれています。先ほど読み取ったキーワード中に、「秘密鍵」という文言がありました。秘密鍵と公開鍵は一対となっていることから、これが適切な選択肢であるという推測が立ちます。
- ウ SSL
Secure Sockets Layerの略で、インターネット上の通信内容を秘匿するためのプロトコルです。ICカードが主題となっていることから、今回はインターネットに関する文言はありませんので、こちらも関係なさそうに見えます。
- エ リバースプロキシ
一般的なプロキシサーバーと逆の動作をするのがリバースプロキシです。不特定多数のアクセスに対し、応答を肩代わりしたり、一本の経路に集約する役割を担っています。ICカードとは全く結びつきそうもありません。
以上から、解答はイのPKIであることが予測されますが、まだ確証が取れたわけではありません。そこで、[生体認証システムの導入]項および、表2をさらっと読んでみます。
LDAPに関する「ディレクトリ・サービス」などの文言や、SSL・リバースプロキシに関する「インターネットを介して…」などの文言が無いことを確認し、解答を確定します。
設問2のまとめ
単語の意味を問われる問題です。暗記問題ではありますが、設問に対応する本文中の記述から、ある程度答えを推測することができます。本問のような問題では、消去法も有効な手段でしょう。
設問3
[導入製品の決定]について, (1), (2)に答えよ。
(1)
本文中の下線①で, マニューシャ方式は実害が少ないとT君が考えた理由を, その特徴に着目して25字以内で述べよ。
記述問題です。これはさすがに本文を読まないわけにはいきません。下線①の周辺を探っていきましょう。
さて、問題文に、「特徴に着目して」とあります。マニューシャ方式の特徴は本文中に記載されていますので、こちらを参考にしてみます。
マニューシャ方式
皮膚が線上に隆起した隆線の分岐や終端部分の位置・種類・方向などの指紋特徴点(マニューシャ)を登録する。指紋特徴点だけでは元の指紋全体を再現できない。
そして、本文下線①の周辺の文章には、
T君は, 万が一指紋情報が漏えいした場合でも①実害が少ないと考えて…
とあります。つまり、「指紋情報が漏えいした場合に」「実害が少ない」「マニューシャ方式の特徴」というキーワードが見えてきます。
マニューシャ方式の説明文に、指紋情報の漏洩に関する情報はひとつしかありません。「指紋特徴点だけでは元の指紋全体を再現できない」という答えそのものが見えてきました。
次に、パターンマッチング方式の文章も読んでみます。パターンマッチング方式は、「指紋全体をスキャンしてデータ化する」とありますので、指紋情報が漏えいした際に、データを悪用される恐れ(指紋の複製など)があります。
以上のことから、T君は、情報漏えい時のセキュリティを考慮して、パターンマッチング方式よりもマニューシャ方式が優れていると結論付けたと推測できます。
あとは、25文字以内に整形するだけです。「指紋特徴点だけでは元の指紋全体を再現できないから」(24文字)などで充分でしょう。解答例では、「漏えいしても元の指紋全体を再現できないから」(21文字)です。
(2)
本文中の[ d ], [ e ]に入れる適切な理由を, それぞれ30字以内で述べよ。また, [ f ]に入れる適切な製品名を, A~Eの中から選んで答えよ。
穴埋めの記述問題です。製品の選択と、その理由を求められています。
| 製品名 | 他人受入率 | 本人拒否率 | 指紋情報の格納場所 |
|---|---|---|---|
| A | 0.0001 | 0.001 | PC内 |
| B | 0.00001 | 0.002 | 専用の認証サーバ内 |
| C | 0.00001 | 0.005 | PC内 |
| D | 0.00009 | 0.002 | 専用の認証サーバ内 |
| E | 0.00001 | 0.007 | 従来の認証サーバ内の拡張領域 |
本文を読んでみると、まず除外すべき製品が導き出されます。
T君は, 認証に必要な情報を一括管理するために, 指紋情報がPC内に格納される製品を除外した。
とあるので、指紋情報の格納場所が「PC内」の製品は除外されます。
| 製品名 | 他人受入率 | 本人拒否率 | 指紋情報の格納場所 |
|---|---|---|---|
| B | 0.00001 | 0.002 | 専用の認証サーバ内 |
| D | 0.00009 | 0.002 | 専用の認証サーバ内 |
| E | 0.00001 | 0.007 | 従来の認証サーバ内の拡張領域 |
引き続いて、指紋情報の格納場所を考えてみます。専用の認証サーバ内と、従来の認証サーバ内の拡張領域の2つの選択肢がありますが、本文周辺には要件に係る記述が見当たりません。
そこで、「データの格納場所」に着目して、本文を最初から読み解いてみると、6ページの上部に、以下のような記述があります。
この方式の採用にあたり, 氏名などの個人情報と指紋情報が同時に漏えいしないように, 個人情報と指紋情報を物理的に分けた上で, 一括管理を行う方針とする。
このことから、個人情報と指紋情報を物理的に分けることが要件となっているということがわかり、従来の認証サーバ内の拡張領域に指紋情報を格納すると、個人情報を指紋情報が同居してしまう、という推測が立ちます。
次に、従来の認証サーバの仕様を探します。
4ページ上部に、
ID管理システムは, 氏名などの個人情報とIDを関連付けており, 認証サーバとしての役割も兼ねている。
とありますので、「従来の認証サーバ」には、個人情報が格納されていることがわかります。結果、従来の認証サーバ内の拡張領域に指紋情報を格納してしまうと、個人情報と指紋情報を物理的に分ける要件を満たせなくなりますので、こちらが除外されます。
以上のことから、理由のひとつは、「個人情報と指紋情報を物理的に分けることができる」(23文字)となります。
解答例は、「個人情報と指紋情報を物理的に分けて管理できる」(22文字)です。
ここまでで、候補は二つに絞られました。
| 製品名 | 他人受入率 | 本人拒否率 | 指紋情報の格納場所 |
|---|---|---|---|
| B | 0.00001 | 0.002 | 専用の認証サーバ内 |
| D | 0.00009 | 0.002 | 専用の認証サーバ内 |
この表から、BとDの差異は「他人受入率」のみとなります。当然、他人受入率は低いほうが優れていると判断できます。他に情報もないことから、ふたつ目の理由は、「他人受入率が他と比べて低い」(13文字)などでよいでしょう。
解答例は、「誤って他人を本人と認識する確率が低い」(18文字)となっています。
以上のことから、採択されるべき製品は「B」であることがわかります。
設問3のまとめ
設問1,2に比べ、論理的に解答を導き出す必要があります。文章の読解力なども問われてきますので、時間を有効に使いながらも、ひとつひとつパズルを組み合わせるように問題を解いて行きましょう。
まとめ
情報セキュリティは、必須問題ながら、そこまで難易度の高い問題は出ないように思います。基礎知識を問う程度なので、しっかりと対策を練れば得点源となります。ここを確実に抑えて、他の問題の貯金にしましょう!