【2021年春期】情報処理安全確保支援士午後I試験【問1】

2024年10月1日 23:28

【出題趣旨】

　昨今、ソーシャルログインが普及してきており、その中でもOAuthを用いたものは様々なWebサービスで利用されている。Webサービスにおける認証機能の開発において、OAuthを理解し、セキュリティ上の考慮点を踏まえた設計を行うことが欠かせないものとなってきている。
　本問では、認証システムの開発を題材に、OAuthを用いたソーシャルログインの実装、及びそのセキュリティに関する理解力を問う。

問1(1)

Sサービスに多要素認証を導入せず、Tサービスとの連携のみで多要素認証を利用できるようになりますので、そのメリットを記述すればよいです。

模範回答は以下となります。

多要素認証の実装をSサービス側に用意しなくてもよい。
~~システム連携の作業のみで多要素認証を導入できる点。~~

問1(2)

サービス終了や仕様変更の影響もありますが、Tサービスの障害が最も突発的に発生する可能性があり、影響が大きいと考えられます。

模範回答は以下となります。

Tサービスの障害時にSサービスを利用できない。
~~Tサービスのサービス終了や仕様変更の影響を受けてしまう点。~~

問1(3)

a=ア：Sサービス
b=イ：Tサービス
c= ウ：利用者

問1(4)

aとαがわかりづらいですね。
α = "え" が正解です。サービス利用者とTサービス間でSサービスに与える権限の内容を確認します。

問2(1)

d = ウ：認可コード
e = ア：アクセストークンの要求

問2(2)

アップロード、ダウンロードともに「攻撃者」が正解です。
利用者は認可コードの入力のみを行っており、実際の操作は攻撃者のアカウントで実行されていることが図4からも読み取れます。

問2(3)

β = 認可の要求（い）
γ = 認可コード（か）

問3(1)

最小権限と記載があるため、アカウント名・電子メールアドレスの情報が取得できるエが正解です。

問3(2)

模範回答は以下となります。

S認証モジュールに利用者IDとパスワードを登録していないS会員

問4