情報処理安全確保支援士試験 令和4年度 春期 午後1 問3
【出典:情報処理安全確保支援士試験 令和4年度 春期 午後1 問3(一部、加工あり)】
問3 スマートフォン向けQRコード決済サービスの開発に関する次の記述を読んで、設問1〜3に答えよ。
L社は、様々なWebサービスを提供している従業員8,000名の企業である。市場環境の変化に合わせ、L社は、QRコードを利用した実店舗向けの決済サービス(以下、Qサービスという)を提供することを決め、Qサービス用のサーバプログラムと、Qサービスを利用するためのスマートフォン向けアプリケーションプログラム(以下、Qアプリという)を開発することになった。
システム開発部門のBさんは、Qサービス用のサーバプログラム及びQアプリの開発責任者に任命された。
[Qサービス用のサーバプログラム及びQアプリの概要]
Qサービス用のサーバプログラム及びQアプリの機能ごとの概要を表1に示す。
[本人確認]
Bさんは、上司である情報処理安全確保支援士(登録セキスペ)のC課長に表1をレビューしてもらった。C課長は、Qサービス及びQアプリが他人名義で利用されたり、他人のアカウントで不正にログインされたりすることを防ぐためには、表1のアカウント作成とQサービスへのログインの方法では本人確認が不十分であると指摘した。
C課長は、経済産業省が2020年に公表した”オンラインサービスにおける身元確認手法の整理に関する検討報告書”を確認するように指示した。当該報告書では、本人確認の構成要素は、身元確認と当人認証であると整理されている。身元確認は、”登録する氏名・住所・生年月日等が正しいことを証明/確認すること”と定義されている。また、当人認証は、”認証の3要素のいずれかの照合で、その人が作業していることを示すこと”と定義されている。したがって、Qサービスにおいては、表1の(a)時に身元確認を、表1の(b)時に当人認証を実施することになる。
a:アカウント作成、b:Qサービスへのログイン
「したがって、Qサービスにおいては、表1の(a)時に身元確認を、表1の(b)時に当人認証を実施することになる。」
身元確認については「身元確認は、”登録する氏名・住所・生年月日等が正しいことを証明/確認すること”と定義されている。」とあり、表1(Qサービス用のサーバプログラム及びQアプリの機能ごとの概要)でこれに該当する機能は、アカウント作成の「Qサービスのアカウント情報として、利用者IDとパスワード、氏名、生年月日、携帯電話番号を登録する」であることが分かります。
また、当人認証については「また、当人認証は、”認証の3要素のいずれかの照合で、その人が作業していることを示すこと”と定義されている。」とあり、認証の3要素については記述がありませんが、これはID/パスワードなどの知識、スマホ利用のSMS認証などの所持、指紋・顔認証などの生体のことです。
表1でこれに該当するのは、Qサービスへのログインの「利用者IDとパスワードでQサービスにログインする。」でしょう。