https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d5ru-att/2021r03h_sc_pm1_qs.pdf
以下のおすすめ問題の解説となります。
良書。
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後1 問1(一部、加工あり)】
[二つ目と三つ目の問題]
二つ目の問題は、③SサービスがTサービスに要求する権限が必要最小限のものになっていないことである。この問題については、要求する権限を一つだけにした。
三つ目の問題は、Tサービスに深刻な脆弱性が報告された場合の対応方法を決めていなかったことである。この問題については、TサービスとのID連携を一時的に停止し、S 認証モジュールだけで認証することにした。ただし、このとき④一部のS会員はSサービスを利用できなくなるので、対象のS会員向けに代替策を検討することにした。
[利用者 認証の実現について]
X氏は、全面改修してS認証モジュールを停止した後の利用者認証の実現方式についてY氏に確認した。Sサービスは利用者を直接認証していないが、⑤Sサービスは、登録されたS会員をどのように利用者認証しているかを、Y氏はX氏に解説した。
S社では、Y氏から指摘された問題を解決した後、TサービスとSサービスとのID連携を開始した。
下線③について、必要最小限の権限を図3中の(ア)〜(エ)から一つ選び、記号で答えよ→エ
多要素認証を行うために導入されたものである
③SサービスがTサービスに要求する権限
とあるので、利用者のアカウント名などの情報かな
下線④に該当するS会員を、35字以内で述べよ。利用者IDとパスワードを所持していないS会員
S認証の登録を用いていないS会員が存在することがわかる。
S認証とは、
利用者IDとパスワードを用いた認証なので、利用者IDとパスワードを所持していないS会員が答えとなる
下線⑤について、Sサービスは、Tサービスと連携して、どのように利用者認証を実現しているか。実現の方法を50字以内で具体的に述べよ。
SサービスはTサービスから取得されたTIDを用いて利用者認証を実現している。