ITパスポート 令和4年度 問74：情報セキュリティ・入退室管理に関する問題

答えは a（アンチパスバック） です。

「共連れ」は、1人がカードでドアを開けた“すきま”に、後ろからもう1人がこっそり一緒に入ってしまうこと。これを防ぐ仕組みがアンチパスバックです。

しくみは「入った記録がない人は、出られない／二重に入れない」というルール。きちんと自分のカードで入った人しか出入りできないようにします。

👉 覚え方：「アンチ（防ぐ）＋パスバック（カードを後ろの人に渡す）＝なりすまし共連れ防止」。

ほかの選択肢：b コールバックは電話のかけ直し確認／c シングルサインオンは1回のログインで複数サービス利用／d バックドアは不正な裏口、の話です。

なぜこれが正解か

正解は a。アンチパスバックは、入室記録のない者の退室や、入室済みの者の再入室を拒否する入退室管理の仕組み。これにより、1人の認証で扉が開いた隙に他者が一緒に入る「共連れ（テールゲート）」や、カードの貸し回しを防止できる。

各選択肢の解説

• b コールバック：通信で一度切って正規の番号にかけ直し本人確認する仕組み。入退室管理ではない。
• c シングルサインオン(SSO)：一度の認証で複数システムを利用できる仕組み。
• d バックドア：正規の手続きを経ずに侵入できる不正な裏口。

覚え方・ひっかけ注意

「共連れ防止＝アンチパスバック」と直結で暗記。入った記録と出る記録の整合をチェックする、と覚える。物理セキュリティの用語で、論理認証のSSOと混同しないこと。

理論的背景

アンチパスバック（Anti-Passback）は物理的なセキュリティ制御機能であり、正解aの通り「入退室管理における共連れ防止対策」として機能する。共連れ（Tailgating/Piggybacking）とは「認証を完了した人物の後に続いて、認証なしにセキュリティゾーンに入室する」行為であり、不正侵入の古典的かつ効果的な手法である。

アンチパスバックの動作原理は「最後の入室記録がない状態での入室禁止」ルールに基づく。具体的には、認証システムがカードIDごとに「ゾーンA在室/退室」の状態を追跡し、「ゾーンAの入室記録があるのに、再度ゾーンAへの入室を要求する場合（＝退室記録なしの重複入室）」をエラーとして拒否する。また「ゾーンAの退室記録がないのに、ゾーンB（隣接ゾーン）への入室を要求する場合」も拒否する。これによりカードを貸し出した場合（カード所持者が入室後にカードを外部に渡す）やカードを別の経路で通過させた場合も検出できる。

機能の種類として「ハードアンチパスバック」（ルール違反時に物理的にドアをロック・入室拒否）と「ソフトアンチパスバック」（ルール違反時に警報を発するが物理的入室は許可）がある。高セキュリティ施設（サーバ室・金庫室・機密研究施設等）ではハードアンチパスバックを採用するのが一般的である。

実務での使われ方

アンチパスバックは入退室管理システム（PACS：Physical Access Control System）の標準機能として、Lenel（UTC）・Software House・HID Global・日本ではセキュアの製品等に実装されている。大型データセンター（Equinix・さくらインターネット等）では「サーバルームの入口（Cage扉）への入室にはアンチパスバック＋マントラップ（二重扉エアロック：前扉が閉まってから後扉が開く）」という組み合わせで共連れ防止を徹底している。

選択肢bの「コールバック（Callback）」はリモートアクセス・ダイヤルアップ接続のセキュリティ手法であり、ユーザーが接続要求をすると一旦切断し、システムが登録済みの電話番号に折り返しかけることで接続元を検証する技術である。VPN登場以前のリモートアクセスセキュリティで使われた手法で、現代ではMFA（多要素認証）のコールバック型認証（電話でのワンタイムコード通知等）として限定的に使われる。

選択肢cの「シングルサインオン（SSO）」は複数の情報システムへのアクセスを一度の認証で可能にする技術であり、入退室管理とは無関係なITの認証統合技術である。SAML・OAuth 2.0・OpenID Connect等のプロトコルで実装され、企業のSaaS管理（Okta・Azure AD・Google Workspace等）の中核技術となっている。

試験での位置づけ

ITパスポートの情報セキュリティ・入退室管理分野でアンチパスバックは近年の頻出用語である。本問のひっかけポイントは「共連れ防止という具体的な目的」に合致する技術を選択することであり、コールバック（b）とシングルサインオン（c）はいずれも「入退室管理」の文脈と無関係な認証技術であることを見抜く必要がある。バックドア（d）については「アンチ（anti）」という語から連想しやすいが、全く異なる概念（不正なアクセス経路）であることを区別することも重要である。

基本情報技術者（FE）では、物理的セキュリティ管理策（ISO/IEC 27001 A.7：物理的管理策）として入退室管理・CCTV・マントラップ・セキュリティゾーンの設計・清掃員・外来者の管理等が包括的に問われる。さらに多要素認証（知識・所持・生体）の組み合わせによる入退室認証の強度評価も出題される。情報処理安全確保支援士（SC）ではデータセンターの物理セキュリティ認証（SOC2 Type II・ISO 27001・PCI DSS）の物理的要件・セキュリティポリシー違反の調査・フォレンジックにおける入退室ログの証拠活用まで問われる。

選択肢の発展補足

選択肢dの「バックドア（Backdoor）」は情報セキュリティにおいて「正規の認証プロセスを迂回して不正にシステムへアクセスするための秘密の入口」を意味し、マルウェアによって作成されるもの（RAT：Remote Access Trojan）と、ソフトウェア開発者が意図的に組み込む「トロイの木馬型」がある。入退室管理のアンチパスバックの「パスバック（鍵を渡す行為）」とは全く異なる概念である。

アンチパスバックの応用と限界についてさらに補足すると、複数の出口・入口がある大規模施設では「ゾーン状態の一貫性維持」が技術的課題となる。例えば停電・システムダウン時にアンチパスバックのState（状態）データが失われると誤検知が発生し、正当な入室者が拒否される「False Negative」問題が生じる。このため多くのシステムでは「アンチパスバックの許容モード（状態リセット時間・管理者による状態強制解除）」が実装されており、セキュリティと利便性のトレードオフ管理が重要な運用課題となっている。