【登録セキスペ5問】SSOを実現する技術(情報処理安全確保支援士試験)
SAML及びSSOは、平成31からの10回中9回も出題されています。
今回SC-AMIIシリーズNoteを書くために問題分析をし、一番出題頻度が高かったです。
ここで一網打尽にしておきましょう!
私は情報安全確保支援士(登録セキスペ)の午後II97点で独学合格しました。IP, FE, AP, NW, DB, ESも全て独学。
このNoteは、独学経験とIT専門学校で教えた実績を基に作成しています。私の対策授業もこんな感じ。
それでは始めましょう!
\私がお世話になったテキスト/
\私の3ヶ月の学習履歴/
SAML単体の問題
まずは、SAMLの特徴から。
OASISが策定した、SOAPベース
システムはアカウント管理をするIdP、利用者にサービスを提供するSP
利用者からSPに利用要求が来ると、SPはIdPに認証作業をしてもらい、認証成功したら発行されるデジタル署名を確認し、SPはサービスを提供する。
デジタル署名によって異なるドメイン間でSSOを実現できる
正答はア。
ア:正しい。
イ:SOAPは、ソフトウェア同士がやりとりをするプロトコル。XML形式でHTTPなどで伝送します。応用情報の出題範囲。
ウ:XKMSは、XMLを使って公開鍵基盤(PKI)を管理します。
エ:XML Signature(XMLデジタル署名)は、XML書式でデジタル署名を書いたもの。
XMLデジタル署名(XML Signature, XML署名)には、三種類あります。Enveloped署名、Enveloping署名、Detached署名。
平成30年春問3に出たので、余裕があったら過去問道場さんの図解をノートに書いてみてください。
似た感じで、サーバ証明書の種類(ドメイン, 企業, EV認証)は午後問題にでたことがあるので、さくらインターネットさんの比較表もノートに書いておいてください。
ひとまず「XKMS」は保留。再度出題されたら対応しましょう。
XKMSは、XML Key Management Specificationの略で「なんかXMLで鍵を管理してんだな」と思う程度。
正答はエ。
ア:WSDLは、Webサービスの機能を使う技術。SOAPを使う時にも併用され、XML記述を用いています。
イ:SAMLはメールとは無関係。メールの暗号化なら、S/MIME, PGPなどが手段です。
ウ:SSL/TLSの説明。SAMLはデジタル署名を使いますが、デジタル署名を管理するサービスではないです。
エ:正しい。「異なるドメイン」で「認証情報」を送っていることから判断。
SSL/TLSは、デジタル署名や鍵を使った暗号化の仕様です。
元々SSLが開発され、標準化されてTLSになりました。
WSDLは新しい用語で、基本情報技術者の修了試験(科目A免除)の令和05年01月問38、応用情報技術者の平成24年秋問48に出ました。過去問道場さんの解説をどうぞ。
SSO技術全般の問題
SSOの実現方式をまとめます。
エージェント型SSO(Cookieを使った方式):利用要求のあったサーバは、エージェントソフトを使って認証サーバにアクセスし、利用者認証に成功したら発行されるCookieを利用者に渡す。利用者はCookieを使ってSSOを行える。
Cookieにはdomainという属性があるように、同一ドメイン内でしか有効でないです。よって、SSOできる範囲は同一ドメイン内のサーバのみ。
もう一つデメリット。SSOしたいサーバ全てにエージェントソフトを導入している必要あり。
リバースプロキシ型SSO:利用者は、リバースプロキシサーバで認証を受け、認証成功したら利用したいサーバへ接続される方式。遊園地の入園口みたいなもの。
Cookieを使っていないため、ドメインが異なるサーバでもSSOできる。反面、全てRP経由のアクセスなのでRPに負荷集中してしまう。
正答はア。
ア:正しい。IdPやSPから判断。
イ:cookie方式。SAMLはcookieではなくデジタル署名を用います。
ウ:Kerberos方式。チケットによって認証と暗号通信を実現する技術。
エ:リバースプロキシ方式。SAMLが使うのIdP(認証)とSP(サービス)。
Kerberosは、認証と暗号通信をするシステムです。認証成功の証に「チケット」を用います。
かなりヤバイので「RADIUSやTACACSと同じように認証のところで出たよなぁ。チケットを使うんだったか」ぐらいに留めておく方が良いです。
基本情報技術者平成22秋午後問4に出ました。私の解説Note、過去問道場さんの解説 を見ても良いですが。。。やめといてください。
正答はイ。
ア:OAuth。SSOとは無関係。例えば、別のサービスからgoogleドライブへアクセスする技術です。
イ:正しい。「異なるドメイン」「シングルサインオン(SSO)」から判断できます。
ウ:OpenID。文意はSSOですが、SAMLはデジタル署名を使います。
エ:HTML。SSOとは無関係。HTMLはWebページを記述するマークアップ言語。
正答はエ。
ア:OpenID方式の説明。IdPからSAMLと思いきや、URLを使っているのでSAMLではないと判断。
イ:代理認証方式の説明。クライアントPC内のエージェントソフトが代わりにアカウント情報を入力します。
ウ:エージェント方式の説明。Cookieを使った方式。サーバが認証サーバにアクセスするためのソフトを、サーバに導入します。
エ:正しい。どのサーバを利用する時も、必ず最初にリバースプロキシサーバにアクセスするので、負荷集中します。
OpenID方式と代理認証方式は、余裕があったら追加で覚えても良いです。OpenIDは2回出てきましたからね。
今はSSOといえば、エージェント型(Cookie方式)・リバースプロキシ型・SAMLの3つとしておきましょう。
まとめ
お疲れ様でした!
3つのSSOの実現方式の図を並べておきますね。
一番大事なのは、最後のSAML。
残りは余裕が出たら覚えていってください。OpenID、代理認証、Kerberos。
ひとまず「3種類+消去法」で充分な得点力になっていますよ。
ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。
\私がお世話になったテキストのレビュー/
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
この記事が参加している募集
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ