基本情報 平成26年度 秋期 問38：テクノロジ系に関する問題

答えは d「ICカードを送るときはPINを同封せず、別の方法で知らせる」です。

ICカードは“鍵”、PIN（暗証番号）は“鍵を回すための合言葉”。両方そろえば誰でも入れてしまいます。

だから一緒の封筒に入れて送ると、もし配達途中で盗まれたら一発でアウト。鍵と合言葉は別の経路で渡すのが鉄則です。

👉 覚え方：「鍵と暗証番号は別便で」。

ほかの選択肢：a 全員同じPIN＝意味なし／b カード表面の数字でPIN＝丸見えで危険／c 紛失時の順序が逆＝先に失効処理しないと悪用される。

なぜこれが正解か

正解は d。ICカード（所有要素）とPIN（記憶要素）の2要素認証は、両方が同時に第三者に渡らないことが安全性の前提。配送時にPINを同封すると2要素が1経路で漏えいするため、別経路（郵送＋電話／メール等）で通知するのが適切。

各選択肢の解説

• a 誤り：全利用者共通PINは、誰でもなりすませる状態となり認証の意味を失う。
• b 誤り：カード表面の刻印情報は紛失時に第三者が容易に取得可能。PINの強度を満たさない。
• c 誤り：紛失時はまず「失効処理」を最優先で行い、その後に新カード発行・PIN再設定が正しい順序。失効が遅れると不正利用される。

覚え方・ひっかけ注意

2要素認証の鉄則は「異なる種類（所有・記憶・生体）を、異なる経路で扱う」。「紛失したら即失効」「鍵と暗証番号は別便」をセットで暗記。

理論的背景

認証要素は「Something you have（所有：ICカード／トークン）」「Something you know（記憶：PIN／パスワード）」「Something you are（生体：指紋／顔）」の3分類。NIST SP 800-63B（Digital Identity Guidelines）はAAL（Authenticator Assurance Level）1〜3を定め、AAL2以上は2要素必須。要素の独立性（1要素の漏えいが他要素に影響しない）が安全性の根幹。

実務での使われ方

金融機関のキャッシュカード・マイナンバーカード・社員証で2要素運用が一般化。PIN通知は親展・書留・電話自動応答・専用Webサイトのいずれかで分離経路化する。紛失時は失効リスト（CRL：Certificate Revocation List）またはOCSP（Online Certificate Status Protocol）で即時失効する設計が望ましい。

試験での位置づけ

情報セキュリティ分野の頻出論点。基本情報では運用ルール、応用情報・情報処理安全確保支援士ではFIDO2・WebAuthn・パスキー等の最新トレンドや、PINロックアウト（連続失敗で凍結）・チャレンジレスポンス方式まで踏み込んだ出題が増加。

選択肢の発展補足

• 共通PIN（a）は「Knowledge-Based Authentication」の設計失敗例として典型。
• カード刻印（b）は「ショルダーハッキング・スキミング」の標的になる。
• 紛失時の正しい順序（c）は「失効→再発行→PIN再設定→利用者通知」。インシデントレスポンスの観点では「Containment（封じ込め）→Eradication→Recovery」のフレームに対応する。