今回解いてみたIT試験の過去問は、情報セキュリティ分野になります。IPAの平成20年春ソフトウェア開発技術者(現・応用情報技術者)午後1の問3からの出題で、シングルサインオン(SSO)を用いた認証処理がテーマになっています。
複数のサーバを使用する場合、普通は個別のサーバごとに認証処理を通過する必要があります。シングルサインオンを導入すれば、認証処理用のサーバが代表してユーザー認証を行い、認証に通ったユーザーは許可されたサーバ全てにアクセスすることが可能になります。これにより、ユーザー側がIDとパスワード管理、ログイン手続きの手間を減らせることに加え、一元的なログイン管理が可能になることで、システム管理者側の負担も軽減できます。
平成20年春ソフトウェア開発技術者午後1問3(情報セキュリティ)
平成20年春ソフトウェア開発技術者午後1問3(PDFファイル)
(引用ここから。解答を入れるための空欄の形式、機種依存文字である問題文中の丸数字を<1>のように表記を変更などの一部改変があります。)
問3 シングルサインオンに関する次の記述を読んで,設問1~3に答えよ。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2008h20_2/2008h20a_sw_pm1_qs.pdf
A 社では,Webインタフエースを用いた複数の社内システムを運用している。それぞれのシステムは管掌部門が異なり,運用に関する要件もそれぞれ異なっている。
〔社内システムの現状〕
(1) 販売管理システム 営業部や製品開発部,経理部などの社員が販売状況の確認,各種伝票発行処理な どに用いる。全社員が利用可能であり,ログイン時のID には全社員に与えられているメールアドレスを用いている。
(2) 勤怠管理システム 全社員が日々の就業時間を入力する。この情報を基に,給与支給額の計算が行わ れる。ID には社員番号を用いている。
(3) 出納システム 経理部社員だけに利用を限定しているので,システム管理を行っている情報システム部門に申請し,ID とパスワードの発行を受ける。この申請は経理部社員しか行えない。
業務活動の統制の観点から,各社内システムのセキュリティ確保の問題が重要視されており,全社的に統一された認証情報の管理,統一されたアクセス制御の実施が望まれている。また,利用者である社員からも,個々のシステムを利用する際に,その 都度ID とパスワードの入力を求められることの不便さを訴えられている。 情報システム部門では,こうした要求に応じるために,シングルサインオンの導入 によって,利用者の利便性向上と統一的なセキュリティ管理を図ることにした。
〔シングルサインオンの導入〕
情報システム部門では,現状の各社内システムの構成と,分散している認証情報の 分析を行った結果,次の方針に従い,図1 左【シングルサインオン導入前】に示す構成から図1 右【シングルサインオン導入後】に示す構成に移行し,シングルサインオンを導入することにした。
(1) 認証情報の統一
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2008h20_2/
・統一された認証情報として,ID には各社員の社員番号を利用する。パスワードには有効期限を設け,社員自身が更新できるようにする。
・認証情報はLDAP (Lightweight Directory Access Protocol)対応のディレクトリに 格納する。
(2) 認証処理サーバの追加
新たに追加する認証処理サーバで行われる認証処理の方式を次に示す。また,その処理の流れを図2 に示す。
・認証処理サーバは,社員のWebブラウザと各社内システムサーバとの間の要求や 応答を中継し,その過程において認証情報の検証を行う。
・認証処理サーバは,認証情報の検証に成功した場合に限り,要求を社内システムサーバに中継する。
・Webブラウザからの要求に認証済チケットが付加されていない場合,認証処理サーバは要求元に対してログインを促す。
・ログインが成功した場合や業務処理の応答を返す場合,認証処理サーバは認証済の情報を格納した認証済チケットを発行して応答に付加し,Webブラウザに返す。
・ログインを促されたWebブラウザは,ログインが成功した後,再度要求を送る。
・認証済チケットを受け取ったWebブラウザは,それを保存しておき,次の要求にはそれを付加する。
・2 回目以降の応答時にも,認証処理サーバは,その都度認証済チケットを発行して応答に付加し,Webブラウザに返す。
認証処理で用いられる認証済チケットの内容を表に示す。
2008h20a_sw_pm1_qs.pdf
〔有効期間の制御〕
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2008h20_2/
情報システム部門では,社員がPCの操作中にそのまま長時間離席してしまうことが多いことから,利用者が5 分間何も操作を行わないと自動的にそれまでの認証を無効とし,再度ログインを求めることにした。
これを実現するために,認証済チケット中の[a]を利用し,次の処理を認証処理サーバで行うことにした。
<1>要求に付加された認証済チケットに含まれる[a]を取り出す。
<2>[b]と[a]を比較する。
<3>差が5 分以内の場合,要求を社内システムサーバに中継し,応答の中継時に,認証済チケット中の[a]の部分を[b]で置き換え,要求元に返す。
<4>差が5分を超える場合,要求永対する認証を無効とし、[c]を行う。
設問1
図2 のようなシングルサインオンの実現方式を何と呼ぶか。解答群の中から選 ,記号で答えよ。
解答群
ア エージェント方式
イ 公開鍵方式
ウ チャレンジレスポンス方式
エ バザール方式
オ リバースプロキシ方式
設問2
本文中の[a],[b]に入れる適切な字句を解答群の中から選び,記号で答えよ。また、[c]に入れる適切な字句を図2中の字句を用いて答えよ。
設問3
本文で述べたシングルサインオンの導入では,ある社内システムに関し,認証情報の統一だけでは導入前に比べ運用上の問題があるので,アクセス制御の処理を見直す必要がある。
(1) 問題が発生する社内システムを解答群の中から選び,記号で答えよ。
解答群
ア 勤怠管理システム
イ 出納システム
ウ 販売管理システム
エ すべてのシステム
(2) どのような運用上の問題があるのか。25字以内で答えよ。
2008h20a_sw_pm1_qs.pdf
(引用ここまで)
解答と解説については、「2」のページに記載しています。