情報処理安全確保支援士2021年(令和3年)春午後1問1(1,577 文字)

問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

(1)はIDパスワードで利用者認証するS認証モジュールを使わずに外部のTサービスとのID連携をする場合の課題に即した利点は何か。S社の課題とはS認証モジュールの認証方式を多要素認証にするべきという話で、Tサービスが認証認可提供SNSであることから、ここに乗っかればSサービス側で多要素認証を用意しなくていいじゃんとなります。
答え 多要素認証の実装をSサービス側に用意しなくてよい。
(2)は(1)の場合の可用性上の欠点は何か。可用性と言われたらログインにTサービスを使うのだからTサービスが死んでる間はSサービスにログインできなくなるということです。
答え Tサービスの障害時にSサービスを利用できない。

(3)(4)は穴埋め。一番わかりやすいのは「どの権限を要求するかは[a]の実装者が決める」の文章で、S社が要求する旨の話が次にあるのでaはSサービスでアです。次に一番上の[b]が提供するリソースという話ですが図3のタイトルにある通りでbがTサービスのイ、残りのcがウです。
そしてαはどのタイミングで権限を確認するかですが、(え)に権限付与の確認と書いてあります。
答え (3) a : ア, b : イ, c : ウ, (4) え

本文(設問2)

問題文(設問2)

解説(設問2)

(1)は穴埋め。というか図2と並べればdが認可コードのウでeがアクセストークンの要求のアなのがわかります。
答え d : ウ, e : ア
(2)はアップロードとダウンロードは誰のアカウントで行うか。完全に攻撃者がのっとっていますので、利用者がアップロードしようとしたものを攻撃者がアップロードする形になります。また、ダウンロードも攻撃者がダウンロードします。(というかこれが目的です)
答え アップロード : 攻撃者, ダウンロード : 攻撃者
(3)はSサービスがstateパラメタを[β]送信時に付与、Sサービスが[γ]受信時にそのセッションがstateパラメタを付与した際の[β]セッションと同じかを見るの穴埋め。まあ図2でSサービスが出すものは認可の要求とアクセストークンの要求しかなく、後者ではSとTのみで攻撃対策にならないのでβは(い)です。次にSサービスが受け取るものは(い)以降だと(か)と(く)と(こ)で図4に(こ)はない=図4の攻撃対策にならないので却下。そして図4で(く)はどちらもTサービスからで区別がつかないことと(か)なら送信者が利用者と攻撃者で異なる=区別ができるのでこれが答えです。
答え β : (い), γ : (か)

本文(設問3)

問題文(設問3)

解説(設問3)

(1)は図3で必要なのはどれか。そもそもTサービスの連携は利用者認証のためなので1つに絞るなら(エ)しかないです。
答え (エ)
(2)はTサービスとの連携を切った時にS認証モジュールでの認証にするが、それで困るのは誰か。S会員の属性はそもそも2つしかなく、今までのS認証組と、新規のTサービスアカウント持ちです。TサービスがないとSサービスに入れないのは後者のうち、S認証モジュールにIDパスワードを登録していない人たちです。
答え S認証モジュールに利用者IDとパスワードを登録していないS会員

本文(設問4)

問題文(設問4)

解説(設問4)

結局どうなったのという説明。図2の注記にT-IDをSサービスに登録し、これを確認すると記述があるのでこれが答えです。
答え Tサービスで認証されたS会員のT-IDが、Sサービス内に登録されていることを確認する。

終わりに

難易度は普通くらい
45分もあればブラッシュアップしていって6割行けるでしょう。

主な参考サイト

【情報処理安全確保支援士試験 令和3年度 春期 午後1 問1 No.4】