令和6年秋期試験問題 午前Ⅱ 問7

あるIdP(Identity Provider)は,パスキー(Passkey)認証をサポートしており,利用者Aは,このIdPのFIDO認証器として,自分のスマートフォンの生体認証機能を登録してある。また,WebサーバBは,このIdPを使ってログインが可能である。利用者AのWebブラウザからWebサーバBにアクセスする際,利用者Aの生体情報を受信するもの,受信しないものの組合せのうち,適切なものはどれか。

07.png
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
FIDO(Fast Identity Online:ファイド)は、業界団体のFIDOアライアンスが策定しているパスワードレス認証の方式です。従来のパスワードに依存した認証に代えて、公開鍵暗号方式を使用したパスキーと呼ばれる認証資格情報による安全な認証を提供します。パスワード認証との比較で、❶パスワードを記憶しておく必要がないので利便性が高い、❷サーバに認証情報を保存しないので漏えいしても安全、❸デバイスのロック解除に使用するのと同じ方法(生体認証、PIN、またはパターン)でWebサイトやアプリにログインできる、といった特徴があります。

FIDO認証の構成要素は、FIDOサーバ、RPサーバ、クライアント、認証器の4つです。
  • FIDOサーバ … 認証要求と結果を管理する
  • RPサーバ … FIDOサーバに対して認証を求める(Webサーバなど)
  • クライアント … Webブラウザやアプリケーション
  • 認証器 … 利用者のデバイス上で認証を行うモジュール
設問ではIdPがFIDOサーバ、WebサーバBがRPサーバ、Webブラウザがクライアント、スマートフォンに組み込まれた生体認証機能が認証器に相当します。

FIDO認証(FIDO2)の手順は次のとおりです。
  1. 認証器で公開鍵/秘密鍵の鍵ペアを作成し、ユーザー情報と公開鍵をFIDOサーバに登録しておく
  2. クライアントは、RPサーバにログインを要求する
  3. RPサーバは、FIDOサーバに認証を求める
  4. FIDOサーバは、チャレンジとオリジン(サーバのURL情報など)を含む認証要求をクライアントに送付する
  5. クライアントは利用者に認証器での認証を求める
  6. 利用者は、認証器で生体認証またはPIN認証を行う
  7. クライアントは、認証情報とチャレンジ、オリジンを合成したものに秘密鍵で署名し、FIDOサーバへ返す
  8. FIDOサーバは、認証器の公開鍵を利用して署名を検証する
  9. FIDOサーバは、認証結果をRPサーバに返す
07_1.png
上記のプロセスのとおり、認証器からFIDOサーバに返されるのは、認証器で実施された認証の結果のみであり、生体情報そのものは認証器の外には出ません。生体情報はWebブラウザ、Webサーバ、IdPのいずれの要素にも受信されないため、適切な組合せは「ア」となります。

Pagetop