ニーズがどのくらいあるかわからんけども!
午後の問題を少しずつ解説していく連載です。
・赤字は「私ならここに線を引くなぁ」という場所。
・青字は私が考えたことや注釈などです。
皆さんも一緒に問題を読みながら、解答の方法をトレ
ースしてみていただけたら、幸いです。
問1 クラウドサービスの利用者認証に関する次の記
述を読んで、設問1、2に答えよ。
(ここは前提となる設定や背景について述べています。)
A社では現在、Webベースの業務システムが複数稼
働しており、それぞれが稼働するサーバ(以下、業務
システムサーバという)を社内LANに設置している。
A社のネットワーク構成を、図1に示す。
利用者は、業務システムを、社内LANに設置された
クライアントPCのWebブラウザから利用する。社
外から社内LANへのリモートアクセスは禁止されて
いる。業務システムの利用者認証は、A社認証サーバ
での利用者IDとパスワード(以下、この二つを併せ
て利用者認証情報という)の検証によって行っており、
シングルサインオンを実現している。
(シングルサインオンは一つ認証したら他のサービスもオッケーに
なるやつだよ!)
社内LANからインターネットを介した社外への通信
は、クライアントPCからプロキシサーバを経由した、
HTTP over TLS(以下、HTTPSとい
う)による通信だけが、ファイアウォールによって許
可されている。社外からインターネットを介した社内
LANへの通信は、全てファイアウォールによって禁
止されている。ファイアウォールの設定は、A社のセ
キュリティポリシに基づき変更しないものとする。
〔クラウドサービスの利用者認証〕
このたびA社は、業務システムの一つである販売管理
システムを、B社がインターネットを介して提供する
販売管理サービス(以下、B社クラウドサービスとい
う)に移行することにした。利用者認証に関しては、
A社認証サーバとB社クラウドサービスを連携し、次
の(1)~(3)を実現することにした。
(1)B社クラウドサービスをシングルサインオンの
対象とする。
(2)A社の利用者認証は、B社クラウドサービスに
ついても、A社認証サーバで行う。
(3)利用者が本人であることを確認するためにA社
認証サーバで用いる( a )は、B社クラウ
ドサービスには送信しない。
「利用者が本人であることを確認する(a)」という構文ができあ
がる。おそらく利用者認証情報のことだ!とこの段階でわかるはず。
(1)~(3)を実現するために、A社は、利用者認
証を仲介するIDプロバイダ(以下、IdPという)
を社内LANに設置することにした。IdPは、認証
結果、認証有効期限及び利用者ID(以下、これら三
つを併せて認証済情報という)にディジタル署名を付
加してから、Webブラウザを介して、B社クラウド
サービスに送信する。B社クラウドサービスは、付加
されているディジタル署名を使って、受信した認証済
情報に( b )がないことを検証する。このために、
IdPの( c )をB社クラウドサービスに登録し
ておく。
「付加されているデジタル署名を使って(b)がないこと」
さて、デジタル署名を使ってできることはなんだっけ?
また、「そのために(c)をB者のクラウドサービスに登録」
とあるが、デジタル署名を検証するのに必要なものは?となる。
(a)利用者IDとパスワードで迷うけど、送っちゃダメ
なのはパスワードでしょう。カ。
(b)デジタル署名で実現できることは、改ざんの検知
なので、イ。
(c)これは公開鍵か秘密鍵か、なんだけど秘密鍵だと、
やばみー!なので公開鍵ウ。
(次回に続く!)