問題
問94
利用者が、トークンと呼ばれる装置などで生成した毎回異なる情報を用いて、認証を受ける認証方式を何というか。
- ディジタル署名
- パスワードクラック
- パスワードポリシ
- ワンタイムパスワード
[出典:ITパスポート試験 平成29年度春期 問94]
正解
正解は「エ」です。
解説
正解は「ワンタイムパスワード」です。ワンタイムパスワードとは、一度だけ使用できるパスワードのことです。毎回異なるパスワードが生成されるため、たとえ悪意のある第三者にパスワードが盗まれても、そのパスワードは一度しか使えないため、不正ログインのリスクを大幅に減らすことができます。
例えば、インターネットバンキングでログインする際、IDと固定パスワードに加えて、スマートフォンアプリや専用のパスワード生成トークン(装置)に表示される、数分ごとに変わる数字列を入力する場合があります。これがワンタイムパスワードです。このパスワードは一度ログインに成功すると無効になるため、次にログインする際には新しいパスワードが必要になります。
これにより、もし誰かがその時のパスワードを知っていても、次回以降は使えないため、セキュリティが強化される仕組みです。特に重要な情報やサービスへのアクセスで利用され、セキュリティ向上に貢献しています。
ア(ディジタル署名):
ディジタル署名は、電子文書が改ざんされていないことや、その文書の作成者が本人であることを証明するための技術です。認証方式の一つではありますが、トークンで毎回異なる情報を生成し、認証を受ける方式とは異なります。
イ(パスワードクラック):
パスワードクラックは、パスワードを不正に割り出す行為や技術そのものを指します。これはセキュリティ対策ではなく、攻撃手法の一つです。
ウ(パスワードポリシ):
パスワードポリシ(パスワードポリシー)は、システムを利用するユーザーが設定するパスワードに関する規則のことです。例えば、「8文字以上で英数字記号を組み合わせる」といったルールを定めます。これは認証方式ではなく、パスワードの安全性を高めるための運用ルールです。
難易度
この問題の難易度は、ITパスポート試験の初学者にとっては中程度です。ワンタイムパスワードは現代のインターネットサービスで広く利用されており、日常的に触れる機会も多いため、名称と仕組みを結びつけやすいかもしれません。しかし、他の選択肢も情報セキュリティに関する重要な用語であり、それぞれの意味を正確に理解していないと迷う可能性があります。特に、ディジタル署名やパスワードポリシとの違いを明確に把握しておくことが重要です。
用語補足
ワンタイムパスワード:
一度だけ有効なパスワードのことです。例えば、オンラインサービスにログインする際に、専用のアプリや機器に表示される、短時間だけ使える数字のコードを入力するのがこれにあたります。使い捨てなので、万が一盗まれても再利用される心配がありません。
ディジタル署名:
電子的な書類やデータが、本人が作成したものであり、途中で改ざんされていないことを証明する技術です。紙の書類における印鑑やサインのような役割を果たします。例として、ソフトウェアのダウンロード時に、そのソフトが正規のものであるかを確認するために使われます。
パスワードクラック:
コンピュータシステムやアカウントのパスワードを、不正な手段を使って割り出すことです。色々な試行錯誤を繰り返したり(総当たり攻撃)、よく使われるパスワードのリストを使ったりする方法があります。これは攻撃側の行為を指します。
パスワードポリシ:
パスワードを作成・運用する上でのルールや決まりのことです。例えば、「パスワードは8文字以上で、英字、数字、記号を混ぜる」「同じパスワードは使い回さない」といった規則が該当します。これはシステム管理者が利用者のセキュリティを高めるために設定します。
対策
この問題は、情報セキュリティにおける認証技術に関する基本的な知識を問うものです。正解であるワンタイムパスワードだけでなく、ディジタル署名、パスワードクラック、パスワードポリシといった他の選択肢の用語についても、それぞれの意味と目的を正確に理解しておくことが対策となります。特に、似たような目的を持つ用語や、混同しやすい用語(例えば、認証方式と認証ポリシーなど)は、それぞれの特徴を比較しながら覚えるようにしましょう。具体的な利用例をイメージすることで、より深い理解が得られます。
