【登録セキスペ5問】SSOを実現する技術(情報処理安全確保支援士試験)
SAML及びSSOは、平成31からの10回中9回も出題されています。
今回SC-AMIIシリーズNoteを書くために問題分析をし、一番出題頻度が高かったです。
ここで一網打尽にしておきましょう!
私は情報安全確保支援士(登録セキスペ)の午後II97点で独学合格しました。IP, FE, AP, NW, DB, ESも全て独学。
このNoteは、独学経験とIT専門学校で教えた実績を基に作成しています。私の対策授業もこんな感じ。
それでは始めましょう!
\私がお世話になったテキスト/
\私の3ヶ月の学習履歴/
SAML単体の問題
まずは、SAMLの特徴から。
OASISが策定した、SOAPベース
システムはアカウント管理をするIdP、利用者にサービスを提供するSP
利用者からSPに利用要求が来ると、SPはIdPに認証作業をしてもらい、認証成功したら発行されるデジタル署名を確認し、SPはサービスを提供する。
デジタル署名によって異なるドメイン間でSSOを実現できる
OASISが策定し、Webサイトを運営するオンラインビジネスパートナー間で認証などの情報を安全に交換するものはどれか。
ア:SAML
イ:SOAP
ウ:XKMS
エ:XML Signature(XML署名)
令和04年秋AMII問03より改変
平成31年春AMII問03より改変
正答はア。
ア:正しい。
イ:SOAPは、ソフトウェア同士がやりとりをするプロトコル。XML形式でHTTPなどで伝送します。応用情報の出題範囲。
ウ:XKMSは、XMLを使って公開鍵基盤(PKI)を管理します。
エ:XML Signature(XMLデジタル署名)は、XML書式でデジタル署名を書いたもの。
XMLデジタル署名(XML Signature, XML署名)には、三種類あります。Enveloped署名、Enveloping署名、Detached署名。
平成30年春問3に出たので、余裕があったら過去問道場さんの図解をノートに書いてみてください。
似た感じで、サーバ証明書の種類(ドメイン, 企業, EV認証)は午後問題にでたことがあるので、さくらインターネットさんの比較表もノートに書いておいてください。
ひとまず「XKMS」は保留。再度出題されたら対応しましょう。
XKMSは、XML Key Management Specificationの略で「なんかXMLで鍵を管理してんだな」と思う程度。
SAMLの説明はどれか。
ア:Webサービスが提供する機能などを検索できる仕様
イ:権限がない利用者による、読み取り・改ざんから電子メールを保護して送信する仕様
ウ:デジタル署名に使われる鍵情報を管理するWebサービスの仕様
エ:異なるドメインに、認証情報だけでなく属性情報と認可情報を伝達するための仕様
令和02年秋AMII問02より改変
正答はエ。
ア:WSDLは、Webサービスの機能を使う技術。SOAPを使う時にも併用され、XML記述を用いています。
イ:SAMLはメールとは無関係。メールの暗号化なら、S/MIME, PGPなどが手段です。
ウ:SSL/TLSの説明。SAMLはデジタル署名を使いますが、デジタル署名を管理するサービスではないです。
エ:正しい。「異なるドメイン」で「認証情報」を送っていることから判断。
SSL/TLSは、デジタル署名や鍵を使った暗号化の仕様です。
元々SSLが開発され、標準化されてTLSになりました。
単に「SSL」「TLS」と書かれても「SSL/TLS」と書かれても同じ意味です。
SSL/TLSは色々なセキュリティに使われています。代表的なのは、Web通信プロトコルのHTTPを暗号通信化したHTTPS。
WSDLは新しい用語で、基本情報技術者の修了試験(科目A免除)の令和05年01月問38、応用情報技術者の平成24年秋問48に出ました。過去問道場さんの解説をどうぞ。
SSO技術全般の問題
SSOの実現方式をまとめます。
エージェント型SSO(Cookieを使った方式):利用要求のあったサーバは、エージェントソフトを使って認証サーバにアクセスし、利用者認証に成功したら発行されるCookieを利用者に渡す。利用者はCookieを使ってSSOを行える。
Cookieにはdomainという属性があるように、同一ドメイン内でしか有効でないです。よって、SSOできる範囲は同一ドメイン内のサーバのみ。
もう一つデメリット。SSOしたいサーバ全てにエージェントソフトを導入している必要あり。
リバースプロキシ型SSO:利用者は、リバースプロキシサーバで認証を受け、認証成功したら利用したいサーバへ接続される方式。遊園地の入園口みたいなもの。
Cookieを使っていないため、ドメインが異なるサーバでもSSOできる。反面、全てRP経由のアクセスなのでRPに負荷集中してしまう。
SSO(シングルサインオン)の実装方式であるSAML認証の流れはどれか。
ア:IdPが利用者認証をし、認証成功で発行されたアサーションをSPが検証し、問題がなければクライアントがSPにアクセスできる
イ:Webサーバに導入されたエージェントが認証サーバと利用者認証をし、クライアントは認証成功後に発行されたcookieを使ってSPにアクセスできる
ウ:認証サーバはKerberosプロトコルを使い利用者認証をし、認証成功後に発行されるチケットによって、クライアントはSPにアクセスする
エ:リバースプロキシで利用者認証がなされ、認証成功後にクライアントはリバースプロキシ経由でSPにアクセスできる。
令和03年秋AMII問04より改変
正答はア。
ア:正しい。IdPやSPから判断。
イ:cookie方式。SAMLはcookieではなくデジタル署名を用います。
ウ:Kerberos方式。チケットによって認証と暗号通信を実現する技術。
エ:リバースプロキシ方式。SAMLが使うのIdP(認証)とSP(サービス)。
Kerberosは、認証と暗号通信をするシステムです。認証成功の証に「チケット」を用います。
かなりヤバイので「RADIUSやTACACSと同じように認証のところで出たよなぁ。チケットを使うんだったか」ぐらいに留めておく方が良いです。
基本情報技術者平成22秋午後問4に出ました。私の解説Note、過去問道場さんの解説 を見ても良いですが。。。やめといてください。
SAMLの説明はどれか。
ア:Webサーバにある利用者のリソースに、他のサーバが利用者に代わってアクセスすることを許可する認証プロトコル
イ:異なるインターネットドメイン間でシングルサインオン(SSO)を実現するための、XMLベースの標準規格
ウ:利用者IDにURLやXRIだけを使え、1つの利用者IDで様々なWebサイトにログインできる仕組み
エ:SGMLをインターネット用に最適化したもので、Webサイトの記述に使われる
正答はイ。
ア:OAuth。SSOとは無関係。例えば、別のサービスからgoogleドライブへアクセスする技術です。
イ:正しい。「異なるドメイン」「シングルサインオン(SSO)」から判断できます。
ウ:OpenID。文意はSSOですが、SAMLはデジタル署名を使います。
エ:HTML。SSOとは無関係。HTMLはWebページを記述するマークアップ言語。
SSO(シングルサインオン)について正しい記述はどれか。
ア:SAML方式では、複数のWebサイトにおけるSSOを、IdPで自動生成されたURLを用いた1人1つの利用者IDで実現する。
イ:エージェント方式では、クライアントPCに導入されたエージェントが、SSOシステムのログイン画面を監視し、ログイン画面が表示されたら認証情報を代理入力する
ウ:代理認証方式では、サーバにSSOモジュールを組み込む必要があるので、システム改修が必要である
エ:リバースプロキシ方式では、SSOを利用する通信がリバースプロキシサーバに集中するため、リバースプロキシサーバが単一障害点になり得る。
正答はエ。
ア:OpenID方式の説明。IdPからSAMLと思いきや、URLを使っているのでSAMLではないと判断。
イ:代理認証方式の説明。クライアントPC内のエージェントソフトが代わりにアカウント情報を入力します。
ウ:エージェント方式の説明。Cookieを使った方式。サーバが認証サーバにアクセスするためのソフトを、サーバに導入します。
エ:正しい。どのサーバを利用する時も、必ず最初にリバースプロキシサーバにアクセスするので、負荷集中します。
OpenID方式と代理認証方式は、余裕があったら追加で覚えても良いです。OpenIDは2回出てきましたからね。
今はSSOといえば、エージェント型(Cookie方式)・リバースプロキシ型・SAMLの3つとしておきましょう。
まとめ
お疲れ様でした!
3つのSSOの実現方式の図を並べておきますね。
一番大事なのは、最後のSAML。
残りは余裕が出たら覚えていってください。OpenID、代理認証、Kerberos。
ひとまず「3種類+消去法」で充分な得点力になっていますよ。
ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。
\私がお世話になったテキストのレビュー/
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
いいなと思ったら応援しよう!
