ITパスポート 令和3年度 問60:セキュリティに関する問題
情報システムにおける二段階認証の例として,適切なものはどれか。
- a画面に表示されたゆがんだ文字列の画像を読み取って入力した後,利用者IDとパスワードを入力することによって認証を行える。
- bサーバ室への入室時と退室時に生体認証を行い,認証によって入室した者だけが退室の認証を行える。
- c利用者IDとパスワードを入力して認証を行った後,秘密の質問への答えを入力することによってログインできる。正答
- d利用者IDの入力画面へ利用者IDを入力するとパスワードの入力画面に切り替わり,パスワードを入力することによってログインできる。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは c です。
二段階認証とは、本人確認を“2回の手順に分けて”行うこと。cは「ID・パスワードで1回目→秘密の質問で2回目」と、2段階で確認しているのでこれが正解。
たとえると、家に入るのに「カギを開ける」→「もう一つの暗証番号を押す」と2回チェックする感じ。1回だけより安全です。
👉 覚え方:二段階=「確認を2回に分ける」。
ほかが×:a 文字画像(ロボットでないか確認)+IDパスワード→画像確認は本人確認の段階ではない/b 入室と退室の認証→これは出入りの管理で“ログインの段階”ではない/d ID入力→パスワード入力→これは1つのログインを2画面に分けただけで段階は1つ。
なぜこれが正解か
正解は c。二段階認証は、認証を2つの段階(ステップ)に分けて連続して行い、両方を満たした場合のみ認証成功とする方式。cは「ID・パスワードで認証した後、さらに秘密の質問への回答で認証」と、明確に2段階を踏んでいるため適切。
各選択肢の解説
- a 歪んだ文字列の読み取り+ID/パスワード:文字読み取りはCAPTCHA(人間かボットかの判定)で、本人認証の段階ではない。
- b 入室時と退室時の生体認証:物理的な入退室管理であり、システムログインの二段階認証ではない。
- d ID入力→パスワード入力:1回のログイン手続きを2画面に分けただけで、認証段階は実質1つ。
覚え方・ひっかけ注意
「認証が2回」かつ「両方クリアで初めて通過」が二段階認証の条件。dの“画面が2つ”は段階数ではない最大の引っかけ。なお二段階認証(ステップが2つ)と二要素認証(知識・所持・生体のうち2種類)は厳密には別概念で、cは“知識+知識”なので二段階だが二要素ではない点も押さえる。
理論的背景
認証は「本人であることを証明する」行為だが、その強度は使う要素の種類と数によって大きく変わる。認証要素は世界標準として3種類に分類される。
| 要素 | 英語 | 代表例 |
|---|---|---|
| 知識情報 | Something you know | パスワード・PIN・秘密の質問 |
| 所持情報 | Something you have | スマートフォン・ICカード・ハードウェアトークン |
| 生体情報 | Something you are | 指紋・顔・虹彩・声紋 |
本問で問われる概念の正確な定義:
- 二段階認証(2-Step Verification): 認証ステップを2回に分けること(要素の種類は問わない)
- 二要素認証(2FA: Two-Factor Authentication): 上記3種類のうち異なる2種類を組み合わせること
選択肢 c「ID/パスワード → 秘密の質問」は知識情報(第1段階)+ 知識情報(第2段階)であるため、二段階認証ではあるが厳密には二要素認証ではない。それでも「二段階確認を行っている」という点で本問の正解となる。
実務での使われ方と強度差
セキュリティ強度の観点では「二要素認証 > 二段階(同一要素)認証」だ。知識情報同士の組み合わせ(c)はフィッシングやソーシャルエンジニアリングで両方同時に奪われる可能性がある。実務では知識情報+所持情報の組み合わせが最もバランスがよく広く普及している。
代表的な実装:
- TOTP(Time-based One-Time Password): Google Authenticator・Authy などで6桁の数字を30秒ごとに生成。RFC 6238 で標準化。
- SMS ワンタイムパスワード: 手軽だが SIM スワップ攻撃やSSPS攻撃に弱いとして NIST は推奨しなくなった
- プッシュ通知認証: Duo Security・Microsoft Authenticator がスマートフォンへの承認プッシュを送る
- FIDO2 / WebAuthn: 公開鍵暗号と生体認証・セキュリティキーを組み合わせ、サーバにパスワードを保存しないフィッシング耐性の高いパスワードレス認証。W3C 標準として普及中。
試験での位置づけ
ITパスポートでは二段階認証・二要素認証・多要素認証(MFA)の定義の違い、各認証要素の例示、ワンタイムパスワードの仕組みが頻出だ。本問の最大のひっかけは選択肢 d「ID 入力 → パスワード入力」で、「2画面に分かれているから二段階」と誤解させる典型パターン。「認証の判断を2回行っているか」ではなく「認証のステップが論理的に2つあるか」で判断する。本バッチの共連れ問(ad7a01a6)・二要素認証との比較で「物理的入室制御 vs 論理的認証」の多層防御を理解すると試験知識が体系化される。
選択肢の発展補足
選択肢 a「CAPTCHA + ID/パスワード」 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は人間とボットを区別する機械判別機能であり、本人認証の一段階ではない。スパム・総当たり攻撃(ブルートフォース)への対策として有効だが、「誰であるか」を確認する認証とは目的が異なる。
選択肢 b「入室時と退室時の生体認証」 は物理的入退室管理の仕組みで、「入室認証」「退室認証」という2回の認証があるが、これらはシステムへのログインという文脈ではなく、また同一認証行為を入室/退室で繰り返しているだけで論理的な「段階」の分割ではない。セキュリティの目的も「場所へのアクセス制御」であってシステムログインとは別カテゴリ。
選択肢 d「ID 入力画面 → パスワード入力画面」 は1回のログイン処理を UI の画面として2分割したに過ぎず、認証要素としては「知識情報(ID)+知識情報(パスワード)」を一連のフローで入力させているだけ。段階(step)ではなく単なる画面遷移であり、二段階認証の定義を満たさない。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和3年度 問60/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。