問題
問69
Webサーバの認証機能を利用して、ユーザがIDとパスワードを入力することでアクセスを許可する認証方式はどれか。
- クライアント証明書認証
- OAuth認証
- HTTP基本認証/ダイジェスト認証
- 生体認証
正解
正解は「ウ」です。
解説
正解は「ウ」のHTTP基本認証/ダイジェスト認証です。HTTP基本認証(Basic認証)とダイジェスト認証は、HTTPプロトコルに標準で組み込まれている認証機能です。Webサイト内の特定のディレクトリやページにアクセス制限をかけたい場合に、Webサーバの設定だけで手軽に導入できます。利用者が保護されたページにアクセスしようとすると、ブラウザがポップアップウィンドウのような認証ダイアログを表示し、ユーザIDとパスワードの入力を求めます。入力された情報がサーバ側で正しいと判断されると、アクセスが許可されます。
基本認証はIDとパスワードを簡易的な符号化で送信するため盗聴に弱いですが、ダイジェスト認証はパスワードをハッシュ化して送信するため、より安全性が高くなっています。どちらも、Webサーバの基本的な機能としてIDとパスワードによる認証を実現する方式です。
ア(クライアント証明書認証):
利用者のコンピュータに事前にインストールされた電子証明書(クライアント証明書)を使って本人確認を行う、より強固な認証方式です。
イ(OAuth認証):
あるサービスが、ユーザの同意のもと、別のサービスに保存されているユーザ情報へ安全にアクセスするための認可の仕組みです。「Googleアカウントでログイン」などがこれにあたります。
エ(生体認証):
指紋や顔など、個人の身体的特徴を使って本人確認を行う認証方式です。Web認証の仕組みとして使われることもあります(WebAuthnなど)。
解法のポイント
Webにおける認証方式は多様ですが、それぞれの「認証に何を使うか」と「どのような仕組みか」を区別することが重要です。HTTP基本認証/ダイジェスト認証のキーワードは「HTTPの標準機能」「Webサーバ」「ID/パスワード」です。クライアント証明書認証は「電子証明書」、OAuthは「別サービスとの連携(認可)」、生体認証は「身体的特徴」を使います。問題文がどの認証要素や仕組みに言及しているかを読み解くことが解答の鍵となります。
用語補足
HTTP基本認証:
Webの基本的な認証機能です。会員制の部屋に入る際に、ドアのところで合言葉(ID/パスワード)を尋ねられるような、シンプルな仕組みです。
認証:
相手が本当に本人であるかを確認することです。身分証明書を提示して本人確認をするのに似ています。
クライアント証明書認証:
特別な電子的な身分証明書(クライアント証明書)を使って本人確認をする方法です。社員証がないと入れない、セキュリティの高い部屋のようなイメージです。
OAuth認証:
サービス間の連携を許可する仕組みです。ホテルのルームキーを預けることで、自分の代わりに友人に部屋の掃除を頼むようなもので、家の鍵(パスワード)そのものを渡す必要がないため安全です。
