【情報処理安全確保支援士試験 令和6年度 春期 午後 問1 No.1】

情報処理安全確保支援士試験 令和6年度 春期 午後 問1

【出典：情報処理安全確保支援士試験 令和6年度 春期 午後 問1（一部、加工あり）】

問1 APIセキュリティに関する次の記述を読んで、設問に答えよ。

 G社は、ヘルスケアサービス新興企業である。利用者が食事、体重などを入力してそのデータを管理したり、健康リスクの判定や食事メニューのアドバイスを受けたりできるサービス（以下、サービスYという）を計画している。具体的には、クラウドサービス上にサービスY用のシステム（以下、Sシステムという）を構築して、G社が既に開発しているスマートフォン専用アプリケーションプログラム（以下、G社スマホアプリという）からアクセスする。Sシステムの要件を図1に示す。

 G社は、Sシステムの構築をITベンダーF社に委託した。F社との協議の結果、クラウドサービスプロバイダE社のクラウドサービス上にSシステムを構築する方針にした。

[APIの設計]
 Sシステムには、将来的には他社が提供するスマートフォン専用アプリケーションプログラムからもアクセスすることを想定し、RESTful API方式のAPI（以下、SシステムのAPIをS-APIという）を用意する。RESTful APIの設計原則の一つにセッション管理を行わないという性質がある。この性質を（a）という。
 E社が提供するクラウドサービスのサービス一覧を表1に、サービスYのシステム構成を図2に、S-API呼出し時の動作概要を図3に、S-APIの仕様を表2に、Sシステムの仕様を図4に、それぞれ示す。

a：ステートレス

「RESTful APIの設計原則の一つにセッション管理を行わないという性質がある。この性質を（a）という。」
 REST（Representational State Transfer）とは、Webシステムの設計原則（アーキテクチャ）の一つで以下の4つの性質を持ちます。

• セッションなどの状態管理を行わず、やり取りされる情報は一度で完結して解釈することができる。
• 情報を操作する命令の体系が予め定義・共有されている。
• 全ての情報は汎用的な構文で一意に識別される。
• 情報の一部として、別の状態や別の情報への参照を含めることができる。

 一つ目の性質であるセッション管理を行わないという性質のことを、ステートレスと言います。
 セッション管理では、サーバ側にセッションIDを保存し、クライアントがcookieなどで送信することで紐付けを行います。
 ステートレスでセッション管理を行わない場合、サーバは個人を識別できる情報をもつ認証トークンを発行し、クライアントは認証トークンを送信することで個人の識別を行うことになります。
 セッション管理を行わないことで得られるメリットは、サーバ側でのリソース保持が不要になり負荷を低減できること、セッション情報の引き継ぎが不要なためサーバ台数が増やすことができることなどがあります。