[問題文・解答]
平成28年度10月に実施された応用情報技術者試験の午後試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[問題概要]
この問題は必須問題です。
出題分野は情報セキュリティで、題材は生体認証システムの導入です。
この問題は必須問題です。
出題分野は情報セキュリティで、題材は生体認証システムの導入です。
[設問1]
(1)
総当たり攻撃のようにログイン成功までパスワードを変えつつ何度もログイン試行されるのを防ぐ為には複数回続けてパスワードを間違えるとアカウントをロックするのが有効な対策です。従って、正解は「ウ」となります。
業務システムとPCの通信を暗号化してもログイン試行への対策にはなりません。また、ログイン試行についての情報を後日知らされても既に不正アクセスされた後なので対策としては不十分です。
[答] a) ウ
(2)
パスワードが他人から類推できないようにするためには、以下のような対策があります。
①英字、数字、記号など異なる文字を混在させる。
②パスワードを長くする。
③IDや氏名・生年月日等を含めないようにする。
④意味のある単語を避ける。
よって、①②は「ア」、③は「イ」に該当するため正解は「ア」と「イ」になります。
P.4下段に「予防策は、実施されたことが確実に確認できるものに限定した」とあります。他人とのパスワード共有や本人しか知らない単語をパスワードに使用させるのは、実施状況の確認が困難である点からも不適切です。
[答] b) ア、イ
(1)
総当たり攻撃のようにログイン成功までパスワードを変えつつ何度もログイン試行されるのを防ぐ為には複数回続けてパスワードを間違えるとアカウントをロックするのが有効な対策です。従って、正解は「ウ」となります。
業務システムとPCの通信を暗号化してもログイン試行への対策にはなりません。また、ログイン試行についての情報を後日知らされても既に不正アクセスされた後なので対策としては不十分です。
[答] a) ウ
①英字、数字、記号など異なる文字を混在させる。
②パスワードを長くする。
③IDや氏名・生年月日等を含めないようにする。
④意味のある単語を避ける。
よって、①②は「ア」、③は「イ」に該当するため正解は「ア」と「イ」になります。
P.4下段に「予防策は、実施されたことが確実に確認できるものに限定した」とあります。他人とのパスワード共有や本人しか知らない単語をパスワードに使用させるのは、実施状況の確認が困難である点からも不適切です。
[答] b) ア、イ
業務システムとPCの通信を暗号化してもログイン試行への対策にはなりません。また、ログイン試行についての情報を後日知らされても既に不正アクセスされた後なので対策としては不十分です。
[答] a) ウ
(2)
パスワードが他人から類推できないようにするためには、以下のような対策があります。①英字、数字、記号など異なる文字を混在させる。
②パスワードを長くする。
③IDや氏名・生年月日等を含めないようにする。
④意味のある単語を避ける。
よって、①②は「ア」、③は「イ」に該当するため正解は「ア」と「イ」になります。
P.4下段に「予防策は、実施されたことが確実に確認できるものに限定した」とあります。他人とのパスワード共有や本人しか知らない単語をパスワードに使用させるのは、実施状況の確認が困難である点からも不適切です。
[答] b) ア、イ
[設問2]
表2のICカード方式の概要欄で「利用者の秘密鍵とPINコードで認証する。」とあることから、ICカード方式の認証では以下のような公開鍵暗号による認証を行うと考えられます。
①各利用者ごとにPINコードと公開鍵・秘密鍵を作成。
②認証サーバにPINコードと公開鍵の対応リストを登録。
③認証の際はICカードに埋め込んだPINコードと秘密鍵で暗号化した認証データを認証サーバに送付する。
④認証サーバは送られてきたPINコードに対応する公開鍵を用いて認証データを復号化し認証を行う。
従って、公開鍵暗号基盤PKI(Public Key Infrastructure)を構築する必要があります。
[答] c) イ
①各利用者ごとにPINコードと公開鍵・秘密鍵を作成。
②認証サーバにPINコードと公開鍵の対応リストを登録。
③認証の際はICカードに埋め込んだPINコードと秘密鍵で暗号化した認証データを認証サーバに送付する。
④認証サーバは送られてきたPINコードに対応する公開鍵を用いて認証データを復号化し認証を行う。
従って、公開鍵暗号基盤PKI(Public Key Infrastructure)を構築する必要があります。
[設問3]
(1)
P.6中段のマニューシャ方式の説明で「指紋特徴点だけでは元の指紋全体を再現できない」とあるように登録した指紋情報が漏えいしてもマニューシャ方式の場合は元の指紋全体を再現できないため、指紋全体を登録するパターンマッチング方式に比べて安全と言えます。
[答] 漏えいしても元の指紋全体を再現できないから
(2)
指紋認証方式の採用に当たっての考慮点や製品選択の方針として以下の点が文中に述べられています。
①P.6下段より「指紋情報がPC内に格納されている製品を除外した」
→PC内に指紋情報を格納するA、Cは除外されます。
②P.6上段より「個人情報と指紋情報を物理的に分けた上で、一括管理を行う方針とする」
→個人情報を格納する従来の認証サーバ上に指紋情報を格納するEが除外されます。
③表2より「他人受け入れ率と、本人拒否率はいずれもできるだけ低いことが望ましい」
→残ったBとDを比べると本人拒否率は同じですが、、他人受け入れ率はBの方が低いためBが最適になります。
以上より、fにはBが当てはまります。また、①の理由はd,eの直前に既に述べられているため、②③の理由がd,fには当てはまります。
[答] d,e) 個人情報と指紋情報を物理的に分けて管理できる
誤って他人を本人と認識する確率が低い
f) B
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
(1)
P.6中段のマニューシャ方式の説明で「指紋特徴点だけでは元の指紋全体を再現できない」とあるように登録した指紋情報が漏えいしてもマニューシャ方式の場合は元の指紋全体を再現できないため、指紋全体を登録するパターンマッチング方式に比べて安全と言えます。(2)
指紋認証方式の採用に当たっての考慮点や製品選択の方針として以下の点が文中に述べられています。①P.6下段より「指紋情報がPC内に格納されている製品を除外した」
→PC内に指紋情報を格納するA、Cは除外されます。
②P.6上段より「個人情報と指紋情報を物理的に分けた上で、一括管理を行う方針とする」
→個人情報を格納する従来の認証サーバ上に指紋情報を格納するEが除外されます。
③表2より「他人受け入れ率と、本人拒否率はいずれもできるだけ低いことが望ましい」
→残ったBとDを比べると本人拒否率は同じですが、、他人受け入れ率はBの方が低いためBが最適になります。
以上より、fにはBが当てはまります。また、①の理由はd,eの直前に既に述べられているため、②③の理由がd,fには当てはまります。
[答] d,e) 個人情報と指紋情報を物理的に分けて管理できる
誤って他人を本人と認識する確率が低い
f) B
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿