ITパスポート 令和5年度 問62：securityに関する問題

答えは d「所持情報・生体情報・知識情報」 です。

本人かどうかを確かめる方法は、大きく3タイプに分けられます。

・知識情報＝“頭で覚えていること”（パスワード、暗証番号）

・所持情報＝“持っているもの”（スマホ、ICカード）

・生体情報＝“体の特徴”（指紋、顔）

この3つの組み合わせです。

👉 覚え方：「知ってる・持ってる・体そのもの」の3つ。

ひっかけ注意：a〜cに出てくる「個人情報」は“名前や住所”のことで、本人確認の“合言葉”ではないので3要素には入りません。だから「個人情報」が入っている選択肢は全部×。

なぜこれが正解か

正解は d。認証の3要素は、(1)知識情報（本人だけが知っている＝パスワード・PIN・秘密の質問）、(2)所持情報（本人だけが持つ＝ICカード・スマホ・トークン・ワンタイムパスワード）、(3)生体情報（本人の身体的特徴＝指紋・顔・虹彩・静脈）の3つ。

各選択肢の解説

• a・b・c：いずれも「個人情報」を含むが、個人情報（氏名・住所等）は認証要素ではない。これがダミーの共通仕掛け。
• 正しい3要素はあくまで「知識・所持・生体」。

覚え方・ひっかけ注意

「知ってる・持ってる・体」の3点セットで暗記。異なる2要素以上を組み合わせるのが多要素認証（MFA）。「個人情報」という紛らわしい語を見たら要素ではないと即除外できる。

理論的背景

認証の3要素（Three Factors of Authentication）はセキュリティ工学の基本分類であり、「本人だけが持つ属性」によって本人確認を行う手段を3つのカテゴリに分類する。

知識情報（What you know）：本人のみが知る秘密情報。パスワード・PIN・秘密の質問・パスフレーズ。メリットは変更・更新が容易なこと、デメリットは忘却・盗聴・辞書攻撃・フィッシングによる漏洩リスクがあること。

所持情報（What you have）：本人のみが持つ物理的・論理的なもの。ICカード（スマートカード）・スマートフォン（TOTP認証アプリ）・ハードウェアトークン（RSA SecurID・YubiKey）・ワンタイムパスワード（OTP）生成器。メリットは複製・盗用が比較的困難なこと、デメリットは紛失・盗難リスクがあること。

生体情報（What you are）：本人の身体的・行動的特徴。指紋・顔・虹彩・静脈パターン・声紋・筆跡・タイピングリズム（行動的特徴）。メリットは常に「本人と一緒にある」こと、デメリットは変更不可能（漏洩しても更新できない）・「失敗率（本人拒否率FRR・他人受入率FAR）」があること。

「個人情報（Personal Information）」は氏名・住所・生年月日・マイナンバーなどの「本人に関する情報の集合」であり、認証要素（本人確認の手段）とは全く異なる概念である。個人情報を知っているからといって本人確認ができるわけではなく（他人が知り得る情報のため）、認証要素に含まれない。選択肢a〜cに「個人情報」が含まれているのは、この混同を誘発するための誤答設計である。

実務での使われ方

多要素認証（MFA：Multi-Factor Authentication）とは、異なるカテゴリの要素を2つ以上組み合わせる認証方式であり、単一要素の突破に加え複数要素の同時突破が必要となるため、セキュリティが大幅に向上する。スマートフォンのFace IDは「顔（生体）」＋「デバイス所持（所持）」の2要素、銀行ATMは「キャッシュカード（所持）」＋「暗証番号（知識）」の2要素が代表例である。「同じカテゴリを2つ重ねる（パスワード+秘密の質問）」は二段階認証（Two-Step Verification）ではあるが、知識×2の同一カテゴリなので真の多要素認証ではないという区別も重要な知識である。

FIDO（Fast IDentity Online）・パスキー（Passkeys）は知識情報（パスワード）を廃止するパスワードレス認証の最新規格であり、Google・Apple・MicrosoftがFIDO2/WebAuthn規格を採用してパスキーの普及を推進している。パスキーでは秘密鍵（デバイスに保存・外部に出ない）と公開鍵（サービスに登録）のペアを使い、生体認証（顔・指紋）または所持認証でデバイスのロック解除を行うことで認証が完了する。フィッシングに完全に耐性を持つ（秘密鍵がデバイスから出ないため）点が従来のパスワードとの根本的な違いである。

試験での位置づけ

ITパスポートのセキュリティ分野では認証の3要素は超頻出テーマであり、「知識・所持・生体」という3分類の正確な把握が最低限の必須知識である。本問のひっかけ設計（「個人情報」を3要素の一つとして混在させる）は非常に典型的なパターンであり、「認証の3要素に個人情報は含まれない」という事実を即座に想起できれば、選択肢a・b・cを一括排除してdを選択できる。

認証の文脈でしばしば混同されるSSO（Single Sign-On）・SAML・OAuth・OpenID Connectは「認証の方法・プロトコル」の枠組みであり、認証の3要素という「何で確認するか」の分類とは別次元の概念である。基本情報技術者・情報セキュリティマネジメント試験ではこれらの認証プロトコルの仕組み（SAMLのアサーション・OAuth 2.0のフロー・OpenID Connectのid_token）まで問われる。

選択肢の発展補足

生体情報（Biometrics）の技術的詳細：指紋認証では、採取した指紋画像から特徴点（端点・分岐点）を抽出したテンプレート（ミニューシャ）を生成し、照合時の特徴点の一致度で本人確認を行う。テンプレートはデバイス内のセキュアエレメント（TEE：Trusted Execution Environment）に保存され、外部に送信しない設計が標準（FIDO原則）。顔認証ではディープラーニングを用いた顔特徴ベクトルの照合が精度向上に貢献しており、3Dデプスセンサー（Appleの顔認証はTrueDepth Camera）による「なりすまし写真」への耐性も向上している。

所持情報とOTPの仕組み：TOTP（Time-based One-Time Password・RFC 6238）はGoogle AuthenticatorやMicrosoft Authenticatorで使われる時刻ベースのワンタイムパスワードであり、事前に共有した秘密鍵と現在時刻（30秒単位）からHMAC-SHA1で6桁の数字を生成する。時刻が一致する30秒間だけ有効であるため、傍受されても再利用できない「リプレイ攻撃耐性」を持つ。物理的なUSBセキュリティキー（YubiKey等）はFIDO2規格に基づき、公開鍵暗号の挑戦応答方式でフィッシング耐性のある所持認証を実現する。