応用情報技術者試験の過去問&キーワードを動画2443本の動画で解説!スキマ時間に動画!※2017年9月11日現在

PR広告

平成28年度秋 応用情報技術者試験 午後問1 情報セキュリティ 設問3 合格率アップ!動画付き解説!

生体認証システムの導入に関する次の記述を読んで、設問1~3に答えよ。

 S社は、個人投資家を対象とした、従業員約200人の証券会社である。事務所では従業員に一人1台のPCが割り当てられている。社内ではディジタル証明書による認証は利用しておらず、全ての業務システムは従業員ID(以下、IDという)とパスワードでログインできるようになっている。S社では、システム管理者がIDを一括管理できるようにするために、ID管理システムを導入している。ID管理システムは、氏名などの個人情報とIDを関連付けており、認証サーバとしての役割も兼ねている。

 業務システムには、出張手配や勤怠管理を行う総務システム、顧客との取引情報を管理する顧客管理システムなどがある。個別の顧客との取引情報は、その顧客を担当している従業員と直属の上司だけが閲覧することを許されている。

〔セキュリティインシデントの発生〕

 ある従業員が担当している顧客の取引情報を、別の従業員が不正に入手して利用するというセキュリティインシデントが発生した。調査の結果、IDとパスワードの不適切な管理によって、IDとパスワードを不正利用されてしまったことが分かった。この事態を重く見たS社は、業務システムへの不正アクセスを防ぐために、セキュリティの強化を図ることにした。

〔不正アクセス予防策の実施〕

 S社では、IDとパスワードのクラッキングや業務システムへの不正アクセスの対策として、予想される不正アクセスに対応する予防策を実施した。予防策は、実施されたことが確実に確認できるものに限定した。その抜粋を表1に示す。

表1 予想される不正アクセスとその予防策(抜粋)

予想される不正アクセス 予防策
他の従業員が、ログインが成功するまでパスワードを変えて施行する。 a
他の従業員がパスワードを類推してIDを使用する。 b
他の従業員がパスワードを入手して、長期間にわたって業務システムを不正利用する。 3ヶ月に1回のパスワード変更を強制し、過去4回分のパスワードを使用できないように設定する。

 対策を導入してから6か月経過した時点でセキュリティ監査を実施し、次の問題を確認した。

パスワードを書いたメモ用紙をディスプレイに貼っている従業員がいる。

パスワードを忘れた従業員に対する、システム管理者によるパスワード再発行業務の負荷が高まっている。

〔生体認証システムの導入〕

 S社では、業務システムへの不正アクセスを防止するために、IDとパスワードによる認証以外の手段を用いた、新たな認証システムの導入を検討することにした。総務部では、新たな認証システムの導入に当たって、認証に必要な情報をシステム管理者側で一括管理できることと、導入コストが安価であることを基本方針とした。

 導入担当となった総務部システム課のT君は、新たな認証システムの方式として、ICカード方式と生体認証方式を検討した。

 基本方針に基づきT君が検討した認証方式を表2に示す。

表2 T君が検討した認証方式

認証方式 概要 導入時の注意事項
ICカード方式 ICカードに埋め込んだ利用者の秘密鍵とPINコードで認証する。
  • ・新たにcの導入が必要となる
  • ・使用するPCごとにICカードリーダが必要となる。
  • ・ICカードの盗難や紛失時に、対象のICカードの利用停止と新たなICカードの発酵が必要である。
生体認証方式 生体情報をセンサで読み取り、あらかじめ登録しておいた生体情報との類似度が高いことで認証する。導入コストが安価なものとして指紋認証方式がある。
  • ・使用するPCごとにセンサが必要となる。
  • ・謝って他人を本人と認識する確率(以下、他人受入率という)と、謝って本人を拒否する確率(以下、本人拒否率という)は、いずれもできるだけ低いことが望ましい。
  • 他人受入率が低い製品を選ぶと、本人拒否率は高くなる傾向にあるので、両者のバランスを考慮する必要がある。

 T君は、導入コスト、新たな認証システムの運用に掛かる業務負荷の軽減、及びセキュリティ強化の契機となったセキュリティインシデントへの対応の観点から、指紋認証方式を採用することにした。

 この方式の採用に当たり、氏名などの個人情報と指紋情報が同時に漏えいしないように、個人情報と指紋情報を物理的に分けた上で、一括管理を行う方針とする。

〔導入製品の決定〕

 指紋認証には、次の2種類の方式がある。

マニューシャ方式

皮膚が線状に隆起した隆線の分岐や終端部分の位置・種類・方向などの指紋特徴点(マニューシャ)を登録する。指紋特徴点だけでは元の指紋全体を再現できない。

パターンマッチング方式

指紋全体をスキャンしてデータ化し、パターンマッチングする。

 T君は、他社における指紋認証システム導入の事例を調査した。その結果、登録された指紋情報が漏えいすることや、他の目的で利用されることへの従業員の不安が大きいことが分かった。

 T君は、万が一指紋情報が漏えいした場合でも①実害が少ないと考えて、マニューシャ方式を採用している製品を調査して、導入コストがほぼ同じ製品について比較検討した。その比較結果を表3に示す。

表3 指紋認証製品の比較結果

製品名 他人受入率 本人拒否率 指紋情報の格納場所
A 0.0001 0.001 PC内
B 0.00001 0.002 専用の認証サーバ内
C 0.00001 0.005 PC内
D 0.00009 0.002 専用の認証サーバ内
E 0.00001 0.007 従来の認証サーバ内の拡張領域

 T君は、認証に必要な情報を一括管理するために、指紋情報がPC内に格納される製品を除外した。残った製品からdという理由とeという理由で、製品名fの製品を選択し、上司に報告した。

設問3

〔導入製品の決定〕について、(1)、(2)に答えよ。

(1) 本文中の下線①で、マニューシャ方式は実害が少ないとT君が考えた理由を、その特徴に着目して25字以内で述べよ。

(2) 本文中のdeに入れる適切な理由を、それぞれ30字以内で述べよ。また、fに入れる適切な製品名を、A~Eの中から選んで答えよ。

設問3 (1)の解説

マニューシャ方式は実害が少ないとT君が考えた理由は「漏えいしても元の指紋全体を再現できないから(IPA公式解答)」です!

下線①は「実害が少ないと考え」です!

ポイント:実害とは何でしょうか?

実害に着目して問題文を見ると、下線①の前段に「万が一指紋情報が漏えいした場合でも」とあります。

その前の文章でも「登録された指紋情報が漏えいすることや、他の目的で利用されることへの従業員の不安が大きいことが分かった。」とあることから、指紋情報が漏えいすることが「実害」と言えます。

ポイント:実害(指紋情報が漏えい)を回避する特徴があるのでしょうか?

設問に「その特徴」に着目してとあります。素直に従いましょう。

問題文の〔導入製品の決定〕にそれぞれの方式の説明があります。

マニューシャ方式

皮膚が線状に隆起した隆線の分岐や終端部分の位置・種類・方向などの指紋特徴点(マニューシャ)を登録する。指紋特徴点だけでは元の指紋全体を再現できない。

とあります。

このことから、万が一指紋特徴点(マニューシャ)が漏洩しても元の指紋全体を再現できないため個人を特定できません。

従って、マニューシャ方式は実害が少ないとT君が考えた理由は「漏えいしても元の指紋全体を再現できないから(IPA公式解答)」です!

設問3 (2)の解説

dの正解は「個人情報と指紋情報を物理的に分けて管理できる(IPA公式解答)」です!

eの正解は「誤って他人を本人と認識する確率が低い(IPA公式解答)」です!

deは順不同です。

fの正解は「B」です!

defの解答は次の文章内に

T君は、認証に必要な情報を一括管理するために、指紋情報がPC内に格納される製品を除外した。残った製品からdという理由とeという理由で、製品名fの製品を選択し、上司に報告した。

の穴埋めです。deは表3 指紋認証製品の比較結果の理由です。fは選択された製品です。

ポイント:製品を選択する理由とは何でしょうか?

問題文に「指紋情報がPC内に格納される製品を除外した」とあるので、製品Aと製品Cは除外されます。

問題文に「氏名などの個人情報と指紋情報が同時に漏えいしないように、個人情報と指紋情報を物理的に分けた上で、一括管理を行う方針とする。」とあります。このことから、「個人情報と指紋情報を物理的に分ける」が重要になります。

表3 指紋認証製品の比較結果

製品名 他人受入率 本人拒否率 指紋情報の格納場所
A 0.0001 0.001 PC内
B 0.00001 0.002 専用の認証サーバ内
C 0.00001 0.005 PC内
D 0.00009 0.002 専用の認証サーバ内
E 0.00001 0.007 従来の認証サーバ内の拡張領域

表3 指紋認証製品の比較結果を見ると

製品B 専用の認証サーバ

製品D 専用の認証サーバ

製品E 従来の認証サーバ内の拡張領域

とあります。「従来の認証サーバ内の拡張領域」では「個人情報と指紋情報を物理的に分ける」ことができません。

従って、dの正解は「個人情報と指紋情報を物理的に分けて管理できる(IPA公式解答)」です!

deは順不同です。

ポイント:次に、製品Bと製品Dのどちらを選択すれば良いのでしょうか?

表3 指紋認証製品の比較結果を見ると

製品B 他人受入率「0.00001」 本人拒否率「0.002」

製品D 他人受入率「0.00009」 本人拒否率「0.002」

となり、本人拒否率は同じですが、他人受入率は製品Bの方が低いです。

表2 T君が検討した認証方式

認証方式 概要 導入時の注意事項
ICカード方式 ICカードに埋め込んだ利用者の秘密鍵とPINコードで認証する。
  • ・新たにcの導入が必要となる
  • ・使用するPCごとにICカードリーダが必要となる。
  • ・ICカードの盗難や紛失時に、対象のICカードの利用停止と新たなICカードの発酵が必要である。
生体認証方式 生体情報をセンサで読み取り、あらかじめ登録しておいた生体情報との類似度が高いことで認証する。導入コストが安価なものとして指紋認証方式がある。
  • ・使用するPCごとにセンサが必要となる。
  • ・謝って他人を本人と認識する確率(以下、他人受入率という)と、謝って本人を拒否する確率(以下、本人拒否率という)は、いずれもできるだけ低いことが望ましい。
  • 他人受入率が低い製品を選ぶと、本人拒否率は高くなる傾向にあるので、両者のバランスを考慮する必要がある。

他人受入率の説明は、表2 T君が検討した認証方式に生体認証方式の導入時の注意事項に

・謝って他人を本人と認識する確率(以下、他人受入率という)と、謝って本人を拒否する確率(以下、本人拒否率という)は、いずれもできるだけ低いことが望ましい。

とあります。このことから、他人受入率が製品を選択します。

従って、eの正解は「誤って他人を本人と認識する確率が低い(IPA公式解答)」です!

deは順不同です。

他人受入率が低いのは製品Bなので、fの正解は「B」です!

平成28年度秋 応用情報技術者試験午後

問1 情報セキュリティ 設問1

問1 情報セキュリティ 設問2

問1 情報セキュリティ 設問3

問2 経営戦略 設問1

問2 経営戦略 設問2

問2 経営戦略 設問3

問2 経営戦略 設問4

問3 プログラミング 設問1

問3 プログラミング 設問2

問3 プログラミング 設問3

問4 システムアーキテクチャ 設問1

問4 システムアーキテクチャ 設問2

問4 システムアーキテクチャ 設問3

問4 システムアーキテクチャ 設問4

問5 ネットワーク 設問1

問5 ネットワーク 設問2

問5 ネットワーク 設問3

問6 データベース 設問1

問6 データベース 設問2

問6 データベース 設問3

問6 データベース 設問4

問8 情報システム開発 設問1

問8 情報システム開発 設問2

問8 情報システム開発 設問3

問8 情報システム開発 設問4

問9 プロジェクトマネジメント 設問1

問9 プロジェクトマネジメント 設問2

問9 プロジェクトマネジメント 設問3

問10 サービスマネジメント 設問1

問10 サービスマネジメント 設問2

問10 サービスマネジメント 設問3

問11 システム監査 設問1

問11 システム監査 設問2

問11 システム監査 設問3

問11 システム監査 設問4

問11 システム監査 設問5

問11 システム監査 設問6


PR広告

フェイスブックコメント

難解な応用情報技術者試験午前で80点中48点を取る優しい方法

平成28年度春 応用情報技術者試験 午後 テキスト・動画解説

平成28年度春 応用情報技術者試験 午後 動画解説再生リスト

平成28年度春 応用情報技術者試験 午前 テキスト・動画解説

平成28年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成27年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度春 応用情報技術者試験 午後 テキスト・動画解説

平成27年度春 応用情報技術者試験 午後 動画解説再生リスト

平成27年度春 応用情報技術者試験 午前 テキスト・動画解説

平成27年度春 応用情報技術者試験 午前 動画解説再生リスト

平成26年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成26年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成26年度春 応用情報技術者試験 午前 テキスト・動画解説

平成26年度春 応用情報技術者試験 午前 動画解説再生リスト