情報処理安全確保支援士試験 令和4年度 春期 午後1 問3
【出典:情報処理安全確保支援士試験 令和4年度 春期 午後1 問3(一部、加工あり)】
[当人認証]
Bさんは、Qサービスの当人認証を強化する方法を検討し、利用者IDとパスワードによる認証後にSMSで認証コードを利用者に送り、入力させる方法を実装することを考えた。
一方、利便性を向上させるために、ログインが成功した場合は、1か月間、ログイン状態を保持することを考えた。しかし②Qサービスにログインした状態で、スマートフォンの画面ロックを設定していないと、サービスが不正利用されることがある。そこで、Qサービスにログインした状態を保持することにした上で、③Qアプリに不正利用を防ぐための機能を追加することにした。
これまでの検討を踏まえ、Bさんは、Qサービス用のサーバプログラムとQアプリの開発を進めた。
下線②について、スマートフォンの画面ロックを設定していないと、どのような場合に不正利用が行われるか。20字以内で具体的に述べよ。:スマートフォンを盗まれた場合
「しかし②Qサービスにログインした状態で、スマートフォンの画面ロックを設定していないと、サービスが不正利用されることがある。」
スマートフォンの画面ロックは、スマートフォンを直接操作できる環境で本人以外の不正操作をさせないために行うものです。
したがって、第三者による不正利用が行われるのはスマートフォンを盗まれた場合や、スマートフォンを置いたまま離席した場合などが考えられます。
下線③について、どのような機能が考えられるか。30字以内で具体的に述べよ。:Qアプリの起動時に、PINコードで利用者を認証する機能
「そこで、Qサービスにログインした状態を保持することにした上で、③Qアプリに不正利用を防ぐための機能を追加することにした。」
Qサービスにログインし、スマートフォンの画面ロックを設定しない状態で攻撃者の手に渡っても不正利用されないためには、Qアプリの起動時のアクションとして認証する仕組みをとればいいでしょう。
PIN(Personal Identification Number:個人識別番号)コードはパスワードと同等ですが、一般的にはパスワードよりも短く、数字のみです。