問題
問97
次のような認証方式の特徴に関する記述として、適切なものはどれか。
- 利用者は認証用のマトリクス表における位置,順序情報だけを記憶する。
- マトリクス表には認証の都度ランダムに数字が割り当てられる。
- 利用者は記憶した位置に表示されている数値を順にパスワードとして入力する。
- 正しい位置に表示されている数値の入力が確認できた場合に認証が成功する。
- 位置,順序情報は定期的に変更しなくてもよい。
- 位置,順序情報は人に教えても安全である。
- 盗聴されたパスワード利用によるなりすましの防止に有効である。
- バイオメトリクス認証の一種である。
[出典:ITパスポート試験 平成29年度秋期 問97]
正解
正解は「ウ」です。
解説
正解はウの「盗聴されたパスワード利用によるなりすましの防止に有効である。」です。 この認証方式は「マトリクス認証」と呼ばれるもので、その最大の特徴は、毎回異なるパスワードを入力する点にあります。
利用者は、認証用のマトリクス表(数字がランダムに配置されている表)の中から、事前に記憶した「位置」と「順序」に従って数字を拾い出し、それをパスワードとして入力します。マトリクス表の数字は認証のたびにランダムに変わるため、たとえ悪意のある第三者がパスワードを盗聴したとしても、そのパスワードは一度限りで無効になります。つまり、盗聴された情報が悪用されるリスクを大幅に減らし、なりすましを防ぐ効果が高いと言えるのです。
例えば、銀行のワンタイムパスワードのように、同じパスワードを使い回すことができないため、セキュリティが強化されます。
ア(位置,順序情報は定期的に変更しなくてもよい。):
マトリクス表の数字が認証の都度ランダムに変わるため、入力するパスワード自体は毎回異なります。位置と順序情報は固定ですが、パスワードが事実上毎回変わるので、セキュリティを維持するためには実質的に定期的な変更を行っているのと同等です。また、位置・順序情報が漏洩した場合は安全ではなくなるため、これを厳重に管理する必要があります。
イ(位置,順序情報は人に教えても安全である。):
位置や順序の情報は、この認証方式において最も重要な秘密情報です。もしこれらを他人に教えてしまうと、その人はマトリクス表を使って簡単にあなたになりすましてログインできてしまいます。したがって、人に教えては絶対に安全ではありません。
エ(バイオメトリクス認証の一種である。):
バイオメトリクス認証とは、指紋や顔、声紋などの個人の身体的特徴や行動的特徴を用いて本人確認を行う認証方式です。このマトリクス認証は、数字の入力という知識認証の一種であり、生体情報を用いるバイオメトリクス認証とは異なります。
難易度
この問題は、マトリクス認証の仕組みとそのセキュリティ上の利点を理解しているかどうかが問われます。認証方式の概念をきちんと把握していれば正解を見つけやすいでしょう。特に、パスワードが毎回変わるという点が、盗聴対策に有効であると結びつけられるかがポイントです。各選択肢の内容を一つずつ吟味し、正確な知識と照らし合わせることで、誤りの選択肢を排除できます。
用語補足
マトリクス認証:
認証用の表(マトリクス表)に表示されたランダムな数字の中から、利用者が事前に決めた位置や順序に従って数字を選んで入力することで本人確認を行う方法です。毎回数字が変わるため、同じパスワードが使い回されることがありません。例えば、オンラインバンキングなどで、指定されたマス目の数字を入力するようなイメージです。
盗聴:
データ通信が行われている途中で、悪意のある第三者がその通信内容を密かに傍受して聞き出す行為です。電話の盗聴や、インターネット上のデータ通信を不正に傍受する行為などがこれに当たります。例えば、誰かと秘密の話をしているときに、知らない人がこっそりその話を聞いているような状態です。
なりすまし:
悪意のある第三者が、他の人のIDやパスワードなどの情報を不正に入手し、その人になりきってシステムやサービスを利用する行為です。これにより、本来その人にしかできない操作を行ったり、個人情報を盗み見たりすることが可能になります。例えば、友人のSNSアカウントに、友人のふりをしてログインしてメッセージを送る行為がこれにあたります。
バイオメトリクス認証:
人間の身体的特徴(指紋、顔、虹彩、静脈など)や行動的特徴(声、筆跡、歩き方など)を利用して本人を確認する認証方式です。パスワードのように忘れたり盗まれたりするリスクが低いとされています。例えば、スマートフォンのロック解除に指紋認証や顔認証を使うのが一般的な例です。
対策
この問題を解くためのポイントは、マトリクス認証の基本的な仕組みと、それが提供するセキュリティ上のメリットを正確に理解することです。特に、「認証の都度ランダムに数字が割り当てられる」という点が重要で、これによりパスワードが使い捨てになるため、盗聴された場合でもその情報が悪用されにくいという特徴を把握しておく必要があります。他の認証方式(バイオメトリクス認証など)との違いも明確にしておくことで、選択肢を正しく判断できます。
