令和7年度100テクノロジ系

ITパスポート 令和7年度 問100:securityに関する問題

個人の認証に用いる要素を,知識,所有物及びバイオメトリクスの三つに分類したとき,所有物を要素として用いた認証の例はどれか。

  • aSMSを用いた認証正答
  • b虹彩の特徴を用いた認証
  • c筆跡や筆圧,スピードなど,文字を書くときの特徴を用いた認証
  • d本人が事前に設定した質問とそれに対する答えを用いた認証
正答:ASMSを用いた認証

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは a「SMSを用いた認証」 です。

本人確認の方法は大きく3種類。

①知識="覚えていること"(パスワード等)②所有物="持っているもの"(スマホ・カード等)③バイオメトリクス="体の特徴"(指紋・顔等)。

SMS認証は、登録したスマホにショートメールで暗証番号が届きます。これは"そのスマホを持っている本人だよね?"を確かめる方法なので、②所有物にあたります。

👉 覚え方:「スマホに届く=スマホを持ってる証拠=所有物」。

ほかの選択肢:b 虹彩(目の模様)=体の特徴/c 筆跡や筆圧=体のクセ(体の特徴)/d 秘密の質問=覚えていること(知識)。

標準試験対策の基準レベル

なぜこれが正解か

正解は a。認証の3要素は「知識・所有物・生体(バイオメトリクス)」。

  • a:SMS認証は、本人が所有する携帯電話(の電話番号)にワンタイムコードを送り、それを入力させる。"端末を所有していること"を確認するので所有物認証

各選択肢の解説

  • b:虹彩(目の模様)の特徴=身体的特徴でバイオメトリクス
  • c:筆跡・筆圧・速度などの書く動作の特徴=行動的特徴でバイオメトリクス
  • d:事前設定の質問と答え=記憶している情報なので知識による認証。

覚え方・ひっかけ注意

知識=What you know(パスワード・暗証番号・秘密の質問)/所有物=What you have(スマホ・ICカード・トークン)/生体=What you are(指紋・顔・虹彩・筆跡)。SMSは「スマホに届く=持っている=所有物」と結びつける。cの筆跡は"知識"と間違えやすいが行動的バイオメトリクス。

上級誤答論破・背景理論まで深掘り

理論的背景

認証の三要素は知識(Something you know)・所有物(Something you have)・バイオメトリクス(Something you are)に分類される。これはNIST SP 800-63B(Digital Identity Guidelines)でも採用されている国際標準的な分類体系だ。SMS認証が「所有物」に分類される理由は、SMSを受信できる物理的なデバイス(SIMカード入りスマートフォン)の占有を証明するからである。SMSに届くOTP(One-Time Password)を知っていても、その物理デバイスを持っていなければ認証できない、という「物理的占有の証明」が本質である。これはトークン型認証(ハードウェアトークン・ICカード)と同じ原理であり、スマートフォン普及前に使われたRSA SecurIDトークンと機能的には同等の役割を担う。

実務での使われ方

SMS認証は実装コストと普及率のバランスから、金融機関・ECサイト・SNSで広く採用されているが、セキュリティ上のリスクも顕在化している。SIMスワッピング攻撃(携帯キャリアを騙してSIMを再発行させ番号を乗っ取る)・SS7プロトコル脆弱性・フィッシングによるOTP詐取などが主要リスクで、NISTは2017年にSMSベースOTPを「非推奨(Deprecated)」と明記した。現在はFIDO2/WebAuthnによるパスキー(Passkeys)がより安全な所有物認証として普及しつつあり、Apple・Google・Microsoftが連携してパスキー普及を推進している。パスキーはデバイス内のTPMチップ(Trusted Platform Module)に秘密鍵を保管し、生体認証でアンロックするため「所有物+バイオメトリクス」の複合認証となる。

試験での位置づけ

認証三要素の分類はITパスポートで繰り返し出題される最頻出テーマ。多要素認証(MFA)の概念と合わせて問われることが多く、「2つ以上の異なるカテゴリを組み合わせることで認証強度が上がる」という原理が核心である。本問の誤答パターンはSMS認証を「知識(OTPを知っている)」と解釈してしまうケース。重要なのは「何を証明しているか」であり、SMS認証は「その番号のデバイスを持っている」という所有事実の証明である。近年のシラバスではゼロトラストセキュリティ・パスキー・生体認証の高精度化が加わり、認証技術の複合問題が増えている。基本情報技術者・情報セキュリティマネジメントではFIDO2仕様、RADIUS/LDAP等の認証プロトコルも出題対象となる。

選択肢の発展補足

選択肢b「虹彩の特徴を用いた認証」はバイオメトリクス(Something you are)の典型例。指紋・静脈・顔・声紋なども同カテゴリで、偽造困難・紛失不能というメリットがある反面、漏えい時に変更不可能というリスクがある。選択肢c「筆跡・筆圧・スピード」も行動バイオメトリクス(Behavioral biometrics)と呼ばれるバイオメトリクスの派生形。選択肢d「秘密の質問」は知識(Something you know)の典型で、「母親の旧姓」「ペットの名前」などSNSから推測可能な情報が使われやすく、セキュリティ上の弱点として認識されている。現代の認証ベストプラクティスは「パスワード(知識)+認証アプリ(所有物)」または「パスキー(所有物+バイオメトリクス複合)」の多要素認証を基準とする。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和7年度100/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

テクノロジ系の他の過去問

55
security
56
database
57
database
58
technology_element
59
network

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。