Maxima で綴る数学の旅

紙と鉛筆の代わりに、数式処理システムMaxima / Macsyma を使って、数学を楽しみましょう

-セキュリティ- CISSPの試験問題はなぜ難しいのか 例題2

rsladeさんの例題集から2つ目の例題です。

ワンタイムパスワード方式を使ったリモートアクセスは、次のどれと最も関係が深いでしょうか?

a. Something you are
b. Something you have
c. Something you calculate
d. Something you know

 

Remote access using a one-time password scheme is most closely associated with which of the following?

a. Something you are
b. Something you have
c. Something you calculate
d. Something you know

 

文献: Handbook of Info. Sec. Mgmt; Krause & Tipton; 1998; pg 682-683.

元記事URL:   

https://community.isc2.org/t5/Certifications/CISSP-questions/m-p/28006/highlight/true#M4621

 

二つ目の問題は技術的なものを選んでみました。昨年の某コンビニ系Xペイのインシデントで「2段階認証」と言う言葉が流行りました。その際に、セキュリティとして重要なのは「2要素認証」だろう、ということも話題になりました*1。この問題は認証の際の「要素」を正しく理解しているか、を問う問題です。3つの認証要素*2を理解していれば難しい問題ではありません。

では早速rsladeさんの解説を見てみましょう。

 

あなたは質問を読むだけでなく、質問についてよく考えなければなりません。と言うのも、この問題を読んだ時のあなたの最初の反応が間違っているかもしれない、数少ないケースの一つなのです。「ワンタイムパスワード」は静的なパスワードと同じではありません。しっかりと覚えておいてください。 この場合のワンタイムパスワード生成器はトークンかもしれません。 あるいは、場合によっては、使用後に使用済みの印をつけたり、破棄されたりするワンタイムパスワードのリストかもしれません。 いずれにしても、それをあなたが持っていることで認証されるのです。以下一つ一つ回答を検討します。


回答 a - Something you are、はバイオメトリクス認証を意味します。
回答 b - Something you have、は所有物による認証です。本問ではワンタイムパスワード生成器がそれに相当します。
回答 c - Something you calculate、は3 つの認証要素のうちの 1 つではありません。
回答 d - Something you know、は静的パスワードであり、ワンタイムパスワードではありません。

 

そもそもワンタイムパスワードとは何か、知っている必要があります。会社から支給されて使っている人も多いと思います。今はスマホとソフトの構成もありますね。

f:id:jurupapa:20200325085558p:plain

Adriano GadiniによるPixabayからの画像

この機器はアカウント毎に発行され、赤いボタンを押すと表示されるパスワードを、アカウントと共に入力すると認証されます。まさにこの機器を持っていることが認証の鍵となります。

生体認証ではないので、Something you areではないし、パスワードと言ってもあなたの記憶に頼っているわけではないので、Something you knowではありません。おそらく毎回何かのアルゴリズムで計算されるのだからc.のSomthing you calculateが正解、というのはNGです。なぜならば、認証の3要素(あるいは4要素)は十分な検討の末に確立された考えで、その中にはSomething you calculateというものは入っていないからです。

正解:b

 

もう一つだけ、注意点があります。とてもよく似た言葉でワンタイムパッド があります。こちらは正式にはワンタイムパッド暗号という暗号方式であって、認証方式ではありません。しかしながらどちらも大事なのできちんと区別して理解する必要があります。

*1:2段階認証という用語もあります。Wikipediaで調べてみてください。

*2:4番目の要素としてSomewhere you areというのもあります。こちらも調べてみてください。