こうすりゃ解ける! 2019年度春期 (平成31年度) 基本情報技術者試験の午後問題を徹底解説


2021-01-08 更新

error

この記事は基本情報技術者試験の旧制度( 2022 年以前)の記事です。
この記事の題材となっている「午後問題」は現在の試験制度では出題されません。 ご注意くださいませ。

2019 年 4 月 21 日(日)に実施された平成 31 年度 春期 基本情報技術者試験の午後問題の中から、必須問題である 問1「情報セキュリティ」 の解き方を解説します。

テーマは「クラウドサービスの利用者認証」です。

ありきたりの解説には、飽き飽きしているでしょうから、「こうすりゃ解ける!」という解法のテクニックと心構えを伝授させていただきます。

info 本記事ではわかりやすいよう、問題に下線を引いています

fiber_new 最新の 令和元年度 (2019) 秋期試験 の解説はこちら

こうすりゃ解ける!
2019 年度秋期 (令和元年度) 基本情報技術者試験の午後問題を徹底解説

令和元年度 (2019年度) 秋期
基本情報技術者試験 問題解説

まず問題の内容にざっと目を通す

午後問題の問 1 ~ 問 7 の多くは、架空の事例になっています。前半部が事例の説明で、後半部が設問という構成です。以下に、問題の内容を示しますので、ざっと目を通してください。

 

「ざっと」ですよ。

 

もしも、丁寧に読んでいたら、時間が足りなくなってしまいます。どんな内容の事例で、どんな設問なのかが、何となくわかれば OK です。

 

↓↓↓↓↓ ここから、ざっと問題に目を通してください ↓↓↓↓↓
[ ▶ 詳細] を押すと開きます

問 1 クラウドサービスの利用者認証に関する次の記述を読んで,設問 1 ,2 に答えよ。

A 社では現在,Web ベースの業務システムが複数稼働しており,それぞれが稼働するサーバ(以下,業務システムサーバという)を社内 LAN に設置している。 A 社のネットワーク構成を,図1に示す。

 利用者は,業務システムを,社内 LAN に設置されたクライアント PC の Web ブラウザから利用する。社外から社内 LAN へのリモートアクセスは禁止されている。業務システムの利用者認証は,A 社認証サーバでの利用者 ID とパスワード(以下,この二つを併せて利用者認証情報という)の検証によって行っており,シングルサインオンを実現している。

 社内 LAN からインターネットを介した社外への通信は,クライアント PC からプロキシサーバを経由した, HTTP over TLS (以下,HTTPS という)による通信だけが,ファイアウォールによって許可されている。社外からインターネットを介した社内 LAN への通信は,全てファイアウォールによって禁止されている。ファイアウォールの設定は,A 社のセキュリティポリシに基づき変更しないものとする。

 

[クラウドサービスの利用者認証]

 このたび A 社は,業務システムの一つである販売管理システムを,B 社がインターネットを介して提供する販売管理サービス(以下,B 社クラウドサービスという) に移行することにした。利用者認証に関しては,A 社認証サーバと B 社クラウドサービスを連携し,次の (1) ~ (3) を実現することにした。

(1)
B 社クラウドサービスをシングルサインオンの対象とする。
(2)
A 社の利用者認証は,B 社クラウドサービスについても,A 社認証サーバで行う。
(3)
利用者が本人であることを確認するために A 社認証サーバで用いる a は,B 社クラウドサービスには送信しない。

 (1) ~ (3) を実現するために, A 社は,利用者認証を仲介する ID プロバイダ(以下, IdP という)を社内 LAN に設置することにした。IdP は,認証結果,認証有効期限及 び利用者 ID (以下,これら三つを併せて認証済情報という)にディジタル署名を付加してから,Web ブラウザを介して,B 社クラウドサービスに送信する。B 社クラウドサービスは,付加されているディジタル署名を使って,受信した認証済情報に b がないことを検証する。このために, IdP の c をB 社クラウドサービスに登録しておく。

 Web ブラウザとB 社クラウドサービスとの間,及び Web ブラウザと IdP との間の通信には,HTTPS を用いる。IdP と A 社認証サーバとの間の通信には LDAP を用いる。

 

[ B 社クラウドサービスが利用可能になるまでの処理の手順]

 A 社の利用者が,利用者認証されていない状態で,B 社クラウドサービスを利用しようとした場合に,利用可能になるまでの処理の手順を次の ① ~ ⑩ に示す。

利用者は,Web ブラウザから B 社クラウドサービスにアクセスの要求を送信する。
B 社クラウドサービスは,アクセスの要求を IdP に転送する指示(以下,転送指示という)を, Web ブラウザに返信する。
Webブラウザは,② の転送指示に従い,IdP にアクセスの要求を送信する。
IMP は,利用者認証情報の入力画面を Web ブラウザに返信する。
利用者は,Web ブラウザで利用者認証情報を入力する。Web ブラウザは,入力された利用者認証情報を IdP に送信する。
IdP は,利用者認証情報を A 社認証サーバに送信する。
A 社認証サーバは,利用者認証情報を検証し,認証結果を IdP に返信する。
IdP は,認証結果が成功の場合に,認証済情報を発行し,当該情報の B 社クラウドサービスへの転送指示とともに,Web ブラウザに返信する。
Web ブラウザは,⑧ の転送指示に従い,認証済情報を B 社クラウドサービスに送信する。
B 社クラウドサービスは,認証済情報に基づいて,B 社クラウドサービスの利用を許可し,操作画面を Webブラウザに返信する。

 B 社クラウドサービスが利用可能になるまでの処理の流れを,図 2 に示す。図 2 中 の ① ~ ⑩ は,処理の手順の ① ~ ⑩ と対応している。


設問 1 本文中の   に入れる適切な答えを,解答群の中から選べ。

a ~ c に関する解答群
ア PKI  
イ 改ざん  
ウ 公開鍵
エ サービス妨害  
オ 生体情報  
カ パスワード
キ 秘密鍵  
ク 利用者ID  
ケ 漏えい

設問2 次の記述中の  に入れる適切な答えを,解答群の中から選べ。

 B 社クラウドサービスでは,接続元の IP アドレスを A 社のものに限定する機能は提供されていない。しかし,他の業務システムと同様に,B 社クラウドサービスを,社内 LAN からの利用に限定できる。

 この理由は,d ことが必要であるが,IdP を社内 LAN に設置するので,社外から B 社クラウドサービスを利用しようとしても,図 2 中の e の送信で失敗し,利用者認証されないからである。

d に関する解答群

B 社クラウドサービスが, IdP と直接通信する
B 社クラウドサービスが,利用者認証情報を検証し,Web ブラウザに返信する
IdP が,利用者に代わって,利用者認証情報を B 社クラウドサービスに送信する
Web ブラウザが,IdP と通信する

eに関する解答群
ア ①  イ ③  ウ ⑤  エ ⑥  オ ⑨

設問の答えの裏付けとなる情報を探すために事例の説明を読む
[設問 1 空欄 a ]

問題の内容にざっと目を通したら、設問を見てみましょう。

「ええっ、まだ問題の内容がよくわかってないですよ!」と思われるかもしれませんが、それでいいのです。

これは、事例を隅々まで理解しろ、という問題ではありません。設問の答えが得られればいい のです。そう割り切ってください。

 

設問 1 の空欄 a には、利用者が本人であることを確認するために A 社認証サーバで用いるもので、B 社クラウドサービスに送信しないもの、が入ります。

さて、何でしょう?

(3) 利用者が本人であることを確認するために A 社認証サーバで用いる a は,B 社クラウドサービスには送信しない。

これは、腕を組んで考えてわかることではありません。答えの裏付けとなる情報が、事例の説明の中にあるはずなので、それを見つけましょう。

このように、事例の説明は、それを隅々まで理解するために読むのではなく、設問の答えの裏付けとなる情報を見つけるために読むのです。

 

事例の説明を見てみると、あった! あった! ありました。

以下の下線を付けた部分で、「利用者 ID 」と「パスワード」で利用者認証を行うと示されています。

 利用者は,業務システムを,社内 LAN に設置されたクライアント PC の Web ブラウザから利用する。社外から社内 LAN へのリモートアクセスは禁止されている。業務システムの利用者認証は,A 社認証サーバでの利用者 ID とパスワード(以下,この二つを併せて利用者認証情報という)の検証によって行っており,シングルサインオンを実現している。

空欄 a は、「利用者 ID 」と「パスワード」のどちらが適切なのでしょうか。

 

選択肢を見てみましょう。選択肢に、どちらか一方しかなければ、それで決まりです。

ところが、選択肢には、「利用者 ID 」と「パスワード」の両方があります。

a ~ c に関する解答群
ア PKI  
イ 改ざん  
ウ 公開鍵
エ サービス妨害  
オ 生体情報  
カ パスワード
キ 秘密鍵  
ク 利用者ID  
ケ 漏えい

このような場合は、常識的な判断をしましょう。

一般的に、ログインするときには、「利用者 ID 」は見せても「パスワード」は見せないものです。

したがって、社外にある B 社のクラウドサービスに送信しないものは、「パスワード」の方が適切でしょう。そう判断して、選択肢カの「パスワード」を選んでください。

 

「そんな適当な判断では納得できない!」という人は、事例の説明の他の部分に、答えの裏付けとなる情報がないかどうか探してみましょう。

 

おっ! ありました。

以下の下線を付けた部分に、IdP( ID プロバイダ)が、「認証結果」「認証有効期限」「利用者 ID 」の 3 つを、B 社のクラウドサービスに送信すると示されています。

「利用者 ID 」は、B 社のクラウドサービスに送信するのですから、送信しないのは「パスワード」です。これで、スッキリと解決しましたね。

 (1) ~ (3) を実現するために, A 社は,利用者認証を仲介する ID プロバイダ(以下, IdP という)を社内 LAN に設置することにした。IdP は,認証結果,認証有効期限及 び利用者 ID (以下,これら三つを併せて認証済情報という) にディジタル署名を付加してから,Web ブラウザを介して,B 社クラウドサービスに送信する。

午前試験の知識があれば正解を選べる
[設問 1 空欄 b 空欄 c ]

市販教材や対策講座などで、ごく普通に試験勉強をした人なら、ディジタル署名の目的と仕組みをご存知でしょう。

ディジタル署名の目的は、「改ざん」と「なりますし」を検知することです。

その仕組みとして、送信者が秘密鍵で暗号化してディジタル署名を作成し、受信者が公開鍵で検証を行います。

 

午後試験の設問の中には、事例の説明を読まなくても、午前試験の知識があれば正解を選べるものがあります。設問 1 の空欄 b と空欄 c は、まさにそういう問題です。

Web ブラウザを介して,B 社クラウドサービスに送信する。B 社クラウドサービスは,付加されているディジタル署名を使って,受信した認証済情報に b がないことを検証する。このために, IdP の c をB 社クラウドサービスに登録しておく。
a ~ c に関する解答群
ア PKI  
イ 改ざん  
ウ 公開鍵
エ サービス妨害  
オ 生体情報  
カ パスワード
キ 秘密鍵  
ク 利用者ID  
ケ 漏えい

空欄 b は、ディジタル署名で検証できることです。これは、「改ざん」と「なりすまし」ですが、選択肢にあるのは「改ざん」だけなので、解答は選択肢 イ です。

空欄 c は、ディジタル署名を検証するために、B 社のクラウドサービスに登録しておくものです。これは「公開鍵」なので、解答は 選択肢 ウ です。

公開鍵秘密鍵

選べなかったら消去法で不適切な選択肢を消す
[設問 2 空欄 d ]

今度は、設問 2 の空欄 d です。

選択肢を見ると、何と何が通信するのかが示されています。どれが適切なのでしょう? 簡単には、選べそうにありませんね。

こういうときには、「選べなかったら消去法」という言葉を、標語のように思い出してください。

 

事例の説明の中にある図 2 に「B 社クラウドサービス」「 Web ブラウザ」「 IdP 」「 A 社認証サーバ」の送信と返信の処理の流れが示されています。

これを見て「この選択肢は違う!」とわかったものに × を付けて消して行くのです。消えずに残ったものが正解です。

d に関する解答群

B 社クラウドサービスが, IdP と直接通信する
B 社クラウドサービスが,利用者認証情報を検証し,Web ブラウザに返信する
IdP が,利用者に代わって,利用者認証情報を B 社クラウドサービスに送信する
Web ブラウザが,IdP と通信する
 B 社クラウドサービスが利用可能になるまでの処理の流れを,図 2 に示す。図 2 中 の① ~ ⑩ は,処理の手順の ① ~ ⑩ と対応している。

選択肢アには「 B 社クラウドサービスが IdP と直接通信する」と示されています。図 2 を見ると、B 社クラウドサービスは、Web ブラウザを介して IdP と通信しています。

したがって、選択肢アは × です。

選択肢イには、「 B 社クラウドサービスが、利用者認証情報を検証し、Web ブラウザに返信する」と示されています。B 社クラウドサービスは、② と ⑩ の処理で、Web ブラウザに返信しています。② と ⑩ の処理の説明と見てみると、以下のように、利用者認証情報の検証結果の返信ではありません。

したがって、選択肢イも × です。

B 社クラウドサービスは,アクセスの要求を IdP に転送する指示(以下,転送指示という)を, Web ブラウザに返信する。
 
B 社クラウドサービスは,認証済情報に基づいて,B 社クラウドサービスの利用を許可し,操作画面を Web ブラウザに返信する。

選択肢ウには、「 IdP が、利用者に代わって、利用者認証情報を B 社クラウドサービスに返信する」と示されています。図 2 を見ると、IdP から B 社クラウドサービスへの返信はありません。

したがって、選択肢ウも × です。

 

残ったのは選択肢エだけですから、それを選んでください。解答は選択肢エです。

 

念のため、選択肢エの内容も確認しておきましょう。

選択肢エには、「 Web ブラウザが、IdP と通信する」とだけ示されています。図2を見ると、確かに Web ブラウザは IdP と通信しています。したがって、選択肢エに × を付ける理由はありません。

消去法のやり方

1つぐらいできない設問があっても気にしない
[設問 2 空欄 e ]

試験問題の出題者は、0 点が多発しても困りますが、満点が多発するのも嫌 なようです。

そのため、どの問題にも、とても簡単な設問(この問題では、設問 1 の空欄 b と空欄 c でしょう)と、やや難しい設問があるものです。

 

最後の設問 2 の空欄 e は、やや難しい問題でしょう。

60% 以上正解できれば試験に合格できるのですから、1 つぐらいできない設問があっても気にしないでください。

 

「そう言われると、よけいに気になります!」という人もいると思いますので、空欄 e も解説しておきましょう。

 

選択肢に示された ① 、③ 、⑤ 、⑥ 、⑨ の処理の中から、社外から B 社クラウドサービスを利用しようとしても、IdP が社内 LAN に設置されていることが理由となって、失敗する送信を選べばよいのです。

 

社外から利用するのですから、図 2 の Web ブラウザが社外にあります。

A 社の LAN には、ファイアウォールがあり、社外からのアクセスを全て禁止しています。これは、事例の説明で、以下の下線を付けた部分に示されています。

 社内 LAN からインターネットを介した社外への通信は,クライアント PC からプロキシサーバを経由した, HTTP over TLS (以下,HTTPS という)による通信だけが,ファイアウォールによって許可されている。社外からインターネットを介した社内 LAN への通信は,全てファイアウォールによって禁止されている。ファイアウォールの設定は,A 社のセキュリティポリシに基づき変更しないものとする。

社外の Web ブラウザは、③ の処理で社内の IdP に送信しています。この送信は、ファイアウォール によって禁止されるので、失敗します。

したがって、選択肢イが正解です。

 

あれあれ、それほど難しい問題ではなかったかもしれませんね。

 

最後に、問題の解答をまとめて示しておきます。

 

解答

平成 31 年度 ( 2019 年度) 春期 問 1

設問 1 a カ  b イ  c ウ
設問 2 d エ  e イ

 

 

ここで紹介した


「まず問題の内容にざっと目を通す」
「設問の答えの裏付けとなる情報を探すために事例の説明を読む」
「午前試験の知識があれば正解を選べる」
「選べなかったら消去法で不適切な選択肢を消す」
「1 つぐらいできない設問があっても気にしない」

という解法のテクニックと心構えは、午後試験の 問 1 ~ 問 7 のすべての問題で応用できます。

 

繰り返しアドバイスしますが「事例の説明を隅々まで理解するのではなく、設問の答えが得られればいいのだ」と割り切って問題を解くことが重要です。

 

それでは、またお会いしましょう!

infoあわせて読みたい

午後問題の歩き方 | 過去問 10 回分から分析した午後問題の出題傾向 ( 2019 春期試験 更新)

 

label 関連タグ
科目A試験は、
免除できます。
独習ゼミで科目A試験を1年間免除して、科目B試験だけに集中しましょう。
免除試験を受けた 74.9% の方が、
科目A免除資格を得ています。
科目A免除試験 最大 2 回の
受験チャンス !
info_outline
科目A免除試験 最大 2 回の
受験チャンス !
詳しく見てみるplay_circle_filled
label これまでの『午後問題の歩き方』の連載一覧 label 著者