【情報処理安全確保支援士試験 令和3年度 春期 午後1 問1 No.3】

情報処理安全確保支援士試験 令和3年度 春期 午後1 問1

【出典：情報処理安全確保支援士試験 令和3年度 春期 午後1 問1（一部、加工あり）】

[二つ目と三つ目の問題]
二つ目の問題は、③SサービスがTサービスに要求する権限が必要最小限のものになっていないことである。この問題については、要求する権限を一つだけにした。
三つ目の問題は、Tサービスに深刻な脆弱性が報告された場合の対応方法を決めていなかったことである。この問題については、TサービスとのID連携を一時的に停止し、S認証モジュールだけで認証することにした。ただし、このとき④一部のS会員はSサービスを利用できなくなるので、対象のS会員向けに代替策を検討することにした。

下線③について、必要最小限の権限を図3中の（ア）〜（エ）から一つ選び、記号で答えよ。：（エ）

「二つ目の問題は、③SサービスがTサービスに要求する権限が必要最小限のものになっていないことである。」
SサービスがTサービスに要求する権限については、そもそもTサービスを利用する目的がなんだったのかを再度確認します。
問題文の前半に、「（略）利用者IDとパスワードを用いて利用者認証するS認証モジュールの認証方式を、多要素認証にする方がよいとのアドバイスを受けたが、その対処が課題であった。そこで、F氏は、認証及び許可を提供する認証許可提供SNSのうち、多要素認証などの機能をもつT社のTサービスとSサービスとをID連携する改修をCEOのX氏に提案した。」とあります。
この内容から、Tサービスの多要素認証の機能を利用するのが目的であることが分かります。
図3（Tサービスが提供する権限）では以下の権限が示されています。

• （ア）他の利用者の投稿に対し”いいね”を送信する権限
• （イ）他の利用者へのメッセージを送信する権限
• （ウ）利用者の代わりに投稿する権限
• （エ）利用者のアカウント名、電子メールアドレスなど登録情報を取得する権限

この中から多要素認証の機能として必要最小限の権限に相当するのは（エ）になりそうです。

下線④に該当するS会員を、35字以内で述べよ。：S認証モジュールに利用者IDとパスワードを登録していないS会員

「この問題については、TサービスとのID連携を一時的に停止し、S認証モジュールだけで認証することにした。ただし、このとき④一部のS会員はSサービスを利用できなくなるので、対象のS会員向けに代替策を検討することにした。」
S認証モジュールだけで認証する場合に、Sサービスを利用できなくなるS会員を確認します。
S認証モジュールについて問題文を確認すると、[Sサービスの改修]に「その改修によって、S認証モジュールを用いないS会員の登録と多要素認証の実現を目指す。ただし、今回の改修でのID連携では、既存のS会員は対象とせず、新規登録のS会員だけを対象とする。改修後も当面は既存のS会員の認証のために、S認証モジュールも継続して稼働させる。」とあります。
S会員には、S認証モジュールを用いる既存のS会員と、S認証モジュールを用いない新規のS会員が存在することが分かります。
したがって、S認証モジュールを用いない新規のS会員がSサービスを利用できなくなります。
S認証モジュールは「利用者IDとパスワードを用いて利用者認証する」とありますので、具体的にはS認証モジュールに利用者IDとパスワードを登録していないS会員とすればいいでしょう。