にしのクエスト2

情報処理技術者試験と資格学校講師の日常

f:id:koharuwest:20191106221322p:plain

まいにち基本 平成31年春午後問題解説 問1その1

ニーズがどのくらいあるかわからんけども!

f:id:koharuwest:20190831114239p:plain


午後の問題を少しずつ解説していく連載です。
・赤字は「私ならここに線を引くなぁ」という場所。
・青字は私が考えたことや注釈などです。
皆さんも一緒に問題を読みながら、解答の方法をトレ
ースしてみていただけたら、幸いです。



問1 クラウドサービスの利用者認証に関する次の記
述を読んで、設問1、2に答えよ。


(ここは前提となる設定や背景について述べています。)
A社では現在、Webベースの業務システムが複数稼
働しており、それぞれが稼働するサーバ(以下、業務
システムサーバという)を社内LANに設置している。
A社のネットワーク構成を、図1に示す。

f:id:koharuwest:20190915081736p:plain


利用者は、業務システムを、社内LANに設置された
クライアントPCのWebブラウザから利用する。社
外から社内LANへのリモートアクセスは禁止されて
いる。業務システムの利用者認証は、A社認証サーバ
での利用者IDとパスワード(以下、この二つを併せ
て利用者認証情報という)の検証によって行っており、
シングルサインオンを実現している。
(シングルサインオンは一つ認証したら他のサービスもオッケーに
 なるやつだよ!)

社内LANからインターネットを介した社外への通信
は、クライアントPCからプロキシサーバを経由した
HTTP over TLS(以下、HTTPSとい
う)による通信だけが、ファイアウォールによって許
可されている。社外からインターネットを介した社内
LANへの通信は、全てファイアウォールによって禁
止されている。ファイアウォールの設定は、A社のセ
キュリティポリシに基づき変更しないものとする。

〔クラウドサービスの利用者認証〕
このたびA社は、業務システムの一つである販売管理
システムを、B社がインターネットを介して提供する
販売管理サービス(以下、B社クラウドサービスとい
う)に移行することにした。利用者認証に関しては、
A社認証サーバとB社クラウドサービスを連携し、次
の(1)~(3)を実現することにした。

(1)B社クラウドサービスをシングルサインオンの
   対象とする。
(2)A社の利用者認証は、B社クラウドサービスに
   ついても、A社認証サーバで行う。
(3)利用者が本人であることを確認するためにA社
   認証サーバで用いる( a )は、B社クラウ
   ドサービスには送信しない。
「利用者が本人であることを確認する(a)」という構文ができあ
がる。おそらく利用者認証情報のことだ!
とこの段階でわかるはず。

(1)~(3)を実現するために、A社は、利用者認
証を仲介するIDプロバイダ(以下、IdPという)
を社内LANに設置することにした。IdPは、認証
結果、認証有効期限及び利用者ID(以下、これら三
つを併せて認証済情報という)にディジタル署名を付
加してから、Webブラウザを介して、B社クラウド
サービスに送信する。B社クラウドサービスは、付加
されているディジタル署名を使って、受信した認証済
情報に( b )がないことを検証する。このために、
IdPの( c )をB社クラウドサービスに登録し
ておく。

「付加されているデジタル署名を使って(b)がないこと」
さて、デジタル署名を使ってできることはなんだっけ?
また、「そのために(c)をB者のクラウドサービスに登録」
とあるが、デジタル署名を検証するのに必要なものは?となる。

f:id:koharuwest:20190915084218p:plain

 


(a)利用者IDとパスワードで迷うけど、送っちゃダメ
   なのはパスワードでしょう。カ。

(b)デジタル署名で実現できることは、改ざんの検知
   なので、イ。

(c)これは公開鍵か秘密鍵か、なんだけど秘密鍵だと、
   やばみー!なので公開鍵ウ。

(次回に続く!)