情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

4.認証

認証は、認証する対象が何かによって、以下の3つがある。
本人(利用者)認証
 例えば、システムを利用する人が本人であるかをパスワードを使って認証する
メッセージ認証
 例えば、メッセージが改ざんされていないかをMAC(message authentication code)を使って認証する。 
時刻認証
 例えば、その時刻に存在したことをタイムスタンプを用いて認証する。

メールを例にとろう。
メールの送信者を認証するのが①、
メール本文が改ざんされていないかの認証が②、
メールを保存したりする場合に、その時刻を記録しておくのが③である。
認証の3つ_情報セキュリティスペシャリスト試験

本人認証には、知識認証と所有物認証、生体認証がある。
認証のレベルは後者になるにつれて上がる。
以下に整理する。 
利用者確認の方法セキュリティレベル利用者確認方法の例
知識認証 
What you know?
知識ベースなので、その知識を知っていれば
誰でもなりすましが可能である。 
・ID/パスワード
・合言葉「山」「川」
所有物認証
What you have?
所有物を盗まれた場合になり済まされる可能性
があるが、知識ベースと違って所有物を持った人
だけがなりすまし可能になる。 
・電子証明書
・ワンタイムパスワード用のトークン
・MACアドレス
生体認証
What you are?
身体的な特徴を元にするので、盗まれることや
貸し借りをすることができない。
・指紋認証
・静脈パターン認証
・虹彩認証
・声紋認証
・顔認証
・網膜認証
929c854c
実際には、これらを組み合わせた認証も増えていますよね。
たとえば、銀行ATMの場合、カード(所有物認証)とパスワード(知識認証)の2段階での認証です。



その通り。複数の認証を組み合わせることで、セキュリティレベルが高くなる。
最近では、指紋認証(生体認証)も普及しているね。

また、これらの認証技術でセキュリティを保つだけでなく、パスワードを数回間違えたら、利用できなくなるなどの、他の仕組みも組み合わせてセキュリティを高めている。

ワンタイムパスワード(One Time Password)の仕組みの中で「サーバはクライアントから送られた使い捨てパスワードを演算し、サーバで記憶している前回の使い捨てパスワードと比較することによって、クライアントを認証する(H22春SC午前2問4)」 仕組みは何か?
これは難しい。
まず、ワンタイムパスワード(One Time Password)は、パスワードの盗聴に備え、パスワードを1回限りにする仕組み。パスワードがたとえ盗聴されても、そのパスワードは利用できないので安全になる。
7a536a8a

確か、電卓のようなものでパスワードを発行した記憶があります。




恐らくそれは、有名なRSAセキュリティ社のSecurIDだね。トークンと呼ばれるパスワード生成器を使い、時刻同期方式にて認証する。
 それ以外にはS/KEYというソフトウェアがある。今回はS/KEYワンタイムパスワードの説明である。これが正解。

最も簡単な認証はパスワードである。
H23秋FE午前問題に、パスワードの問題がある。
これを基に、パスワードの在り方を考える。
問42  入力パスワードと登録パスワードを用いて利用者を認証する方法において、パスワードファイルへの不正アクセスによる登録パスワードの盗用防止策はどれか。
ア パスワードに対応する利用者のIDのハッシュ値を登録しておき、認証時に入力された利用者IDをハッシュ関数で変換して参照した登録パスワードと入力パスワードを比較する。
イ パスワードをそのまま登録したファイルを圧縮しておき、認証時に復元して、入力されたパスワードと比較する。
ウ パスワードをそのまま登録しておき、認証時に入力されたパスワードと登録内容をともにハッシュ関数で変換して比較する。
エ パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する。(H23秋FE午前)
まず、パスワードの仕組みを簡単に紹介する。
パスワードが正しいかを判断するときに、パスワードをそのまま比較しているわけではない。
パスワードをハッシュして保存しておき、入力されたパスワードをハッシュした値と比較することで、認証をしている。

pw
8412ebbb 


なんでそんな面倒なことをしていのですか?
パスワードをそのまま保管しておけばいいでしょう。
不正アクセスにより、パスワードを保存しているファイルを直接参照された場合、パスワードが分かってしまう。この危険があるからだ。
ハッシュしていれば、不可逆性より、元のパスワードが分かることもないから安全な方法である。よく考えられた方法だと感心する。

この問題の正解は、選択肢エである。

ワンタイムパスワードには大きく、①S/KEY方式と②時刻同期方式がある。他にもたくさんあるようだが、試験対策としてはこの2つで十分であろう。
過去問(H23NW午後2問2)に時刻同期方式の問題があるので引用する。
社外でTCを使用するときには,トークンを使ったワンタイムパスワード(以下,OTPという)方式の認証でセキュリティを確保する。
(中略)
OTPは,時刻同期方式を利用する。社員に,あらかじめトークンと呼ばれるパスワード生成器を配布する。トークンが生成する数字は1分経過ごとに変化し,一度しか使用できない。本方式では,時刻のずれが発生するので,ずれの許容範囲を設定する。認証サーバは,許容範囲内で認証を試みて,認証できたらトークンとの時刻のずれを推定して記憶し,次回の認証時に,記憶したずれを基に時刻の補正を行う。

設問3〔社外でのTC使用時のセキュリティ対策〕について,(1),(2)に答えよ。
(1) トークンが生成する数字を変化させる時間間隔を長くすると,トークンに表示された数字を正しく入力しても,不正パスワードになるケースが発生することがある。その理由を,20字以内で述べよ。
(2) 本文中の時刻同期方式で,ずれた時刻を認証サーバが推定する方法を,50字以内で述べよ。
OTPのトークンを見たことがある人も多いことだろう。
キーホルダーぐらいの大きさの機器だ。この液晶画面に表示される数字がOTP。
otp

 











時刻同期方式は,現在時刻を基にしてパスワードを作成する。トークンが計算したOTPと,認証サーバが計算したOTPが一致するかで認証を行う。
4

なぜ、時刻同期をするのですか?
「時刻」というのが、唐突な感じで、疑問です。



時刻同期をしなければ,昨日のパスワードでも、1週間前にトークンで作成したパスワードでもログインできる。つまり,ログインできるパスワードが増えるので,不正ログインのリスクが広がるからだ。
5
問題文に、「本方式では,時刻のずれが発生する」とありますね。
時刻同期なので、認証サーバとトークンは時刻の同期をしているのでは?




同期をしていないね。そもそも、両者はつながっていないからさ。
さて、設問の解答例は以下である。
(1)パスワードの再使用となるから
(2)認証できたパスワードが生成された時刻と,パスワードを受信した時刻の差から推測する

過去問(H28春FE午前問40)を解いてみましょう。なかなかいい問題です。
問40 Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。
ア あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。
イ あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
ウ 新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。
エ 新たにメールアドレスを人力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
  
ア、ウ:メールでは、パスワードが盗聴される可能性があります。
イ:パスワード再登録用のページは、HTTPSで暗号化通信を行えるので安全です。また、合い言葉が突破されたとしても、第三者に再登録用のページが送られることはありません。
でも、このURLが盗聴される可能性もありますよね。そこは、さきほどの合言葉が一致したページに表示する番号などを送られたURL上で入力するなどのプロセスにすれば安全性が高まります。
では、なぜ、推測困難なURLにするのでしょうか。
エ:合い言葉が突破されると、第三者に再登録用のページが送られてしまい、パスワードを自由に設定されてしまいます。
【正解】 イ

MACアドレス認証はセキュリティ対策として不十分と言われている。
なぜでしょうか?

理由①
クライアントPCでMACアドレスの偽装が簡単にできること。

最近は簡単にできなくなったようですが、昔のパソコンは、マイネットワークのプロパティで、簡単に変更ができた。

理由②MACアドレスは暗号化されないので、盗聴可能であること。
例えば、無線LANによってWEPで暗号化したとしても、MACアドレスは暗号化されない。

この2つから、MACアドレスを盗聴したうえでそのMACアドレスに偽装されるからです。
情報セキュリティスペシャリスト試験を勉強する成子
ん?
では、MACアドレスも暗号化すればいいのではないですか?
そうすれば、認証として安全ですよね?
いや、MACアドレスを暗号化してしまったら、そもそも通信ができない。どこにフレームを転送すればいいかも分からないからだ。

過去問(H25SC秋午後1問2)を見てみよう。
 
〔スマホアプリの利用者認証〕
 Bさんは,スマホアプリを開発するに当たり,利用者認証について情報システム部
のC課長に相談した。次は,そのときの会話である。
Bさん:スマホアプリを繰返し利用してもらうために,面倒なログイン操作は初回だけにして,2回目以降は自動的に利用者が認証されるようにしたいと考えています。
C課長:2回目以降はどんな情報を用いて利用者を認証するのかね。
Bさん:スマートフォンには, IMEI (International Mobile Equipment Identity)などの固有の端末識別番号が付与されていますので,これを用いて利用者を認証することを考えています。
C課長:確かに端末識別番号は端末の固有コードにはなるね。しかし,①端末識別番号の特性を考えると,自分の端末識別番号を別の端末で利用されて,サービス認証に使うわけにはいかないな。
Bさん:そのまま使うのが問題であれば,端末識別番号を基にスマホアプリ内で②鍵付きハッシュ関数で算出したハッシュ値を使うという方法はどうでしょう。
 このスマホアプリ専用の鍵を一つ用意して,スマホアプリ内に格納しておけば,不正利用を防ぐことができるのではないかと思います。
C課長:しかし,③鍵を秘密にしておくことが難しいので,その方法を採用してはいけないと思うよ。スマートフォンサイトでの利用者認証は,一般的なPCサイトと同じように考えた方がいいのではないかな。
Bさん:分かりました。

設問1 〔スマホアプリの利用者認証〕について, (1)~(3)に答えよ。
(1)C課長が本文中の下線①のように判断したのは,端末識別番号のどのような特性からか。 20字以内で述べよ。
(2)本文中の下線②の鍵付きハッジュ関数を解答群の中から選び,記号で答えよ。
 解答群
   ア AES
   イ HMAC
   ウ RIPEMD
   工 SHA-256
(3)本文中の下線③について,どのような手法で鍵を知られてしまうか。30字以内で述べよ。

詳しくは別途書きたいが
スマホ端末の個体識別番号(IMEI)は、*#06# と入力すると表示される。これとは別に、利用者を認証するSIMカードのIMSI(International Mobile Subscriber Identity)という番号もある。
端末のSIMを入れ替えた場合、両者があれば、「誰がどの端末」を使っているかの識別ができる。

正解は
(1)秘密情報ではないという特性
(2)イ
(3)スマホアプリをリバースエンジニアリングする

601a33a7

安全性を疑うひとも多いですよね?



たしかに。技術的には安全だが、運用面では欠点もあるだろう。「2007年度に発生したインターネットバンキングでの被害件数は231件(被害総額は1億9000万円)」との金融庁からの発表があったようだ。(出典「情報セキュリティ読本」実教出版)
また、2011.10.18(火)NHK夕方ニュースより以下のようなことが言われていた。
「インターネットバンキングの被害額が過去最高額(?)に。原因は送られてきたメールを開くことで感染したスパイウェアが主。三井住友などはワンタイムパスワードを導入しており、OTPを使った被害は今のところ報告されていない。」


ディジタル署名機能を組み込んだICカードの利用が広がっている。パスワード認証だけの場合、パスワードが漏えいすれば、例えばインターネット上のシステムの場合に世界中のどこからでも不正利用できてしまう。しかし、ICカードなどの認証デバイスを利用した認証の場合、ICカードを持っていないと認証できない。セキュリティの強度は大幅に上がる。

 さらに、会社の社員証と兼用するなどして存在価値を高めれば、ICカードの貸し借りが減り、人的なセキュリティリスクをさらに防ぎやすくなる。
 また、PIN(Personal Identification Number)入力を求めて二要素認証をすることで、ICカードが盗まれてもPINが分からなければ不正アクセスされることはない。

 一般的なPINの運用に関しては、H18SV午後Ⅰ問3に事例が掲載されているので紹介する。

 ICカードには、新規発行時に初期PINが設定され、従業員にはICカード受領後に初期PINを変更することを義務付けた。
(中略)
 従業員がPINを入力し、連続して5回照合に失敗すると、そのICカードを使用不可能な状態(以下、ロック状態という)とする。従業員がPINを忘れてしまった場合や、ロック状態となった場合は、人事総務部が管理者としてICカードを回収し、ロックを解除した後、再度PINを設定して、従業員に返却する。
(H18SV午後Ⅰ問3より抜粋)

ICカードの欠点は、ICカード読み取り装置が必要であり、初期コストがかかることである。

■補足:ICカード(USBトークン)のPIN
・証明書を利用する際に、PINコードを入力しないと利用できない。
・最初に管理者からeTokenをもらったときに、初期パスワード(PIN)が設定されているので、自分しかしらないパスワードに変更する。
・ 忘れてしまった場合は、管理者しか復旧できない。
・ PINコードや証明書には有効期限を設けておくべきであろう。
・PINロック:一定回数以上パスワード入力に失敗すると、ロックされる。※ロックを設定しないことも可能。管理者のみロック解除ができる。
・USBトークンを初期化することは可能。ただし、その場合、内容は全て削除される。

このページのトップヘ