難易度・正答率・重要度
- 難易度:★★☆☆☆(パスワードレスの基本)
- 正答率:★★★☆☆(用語の整理で判断可能)
- 重要度:★★★☆☆(認証・セキュリティの実務で重要)
問題文
近年パスワードレス認証が普及してきた。パスワードレス認証の方法に関する記述として、最も適切なものはどれか。
ア
パスキー認証では、生体認証は用いられない。
イ
パスキー認証では、複数のデバイス間で同じパスキー(FIDO認証資格情報)を用いることができる。
ウ
パスキー認証では、利用者の電話番号にワンタイムパスコードを通知して、そのコードを用いて認証する。
エ
パスキー認証とは、一度の認証で許可されている複数のサーバやアプリケーションを利用できる仕組みをいう。
オ
パスキー認証は、パスワード認証に比べて DoS 攻撃への耐性がある。
出典:中小企業診断協会|2024年度 第1次試験問題|経営情報システム(PDF)
解答
- 正解:イ(複数デバイス間で同じパスキーを用いることができる)
解説(選択肢ごとの評価)
- ア:×
パスキーはFIDOベースの認証資格情報で、生体認証(指紋・顔)や端末PINを組み合わせてローカル認証を行うのが一般的。生体認証は用いられる。 - イ:〇
パスキーには「同期型(multi-device)」があり、クラウドキーチェーンやパスキー管理サービスを通じて複数デバイスで同じ認証資格情報を利用できる。端末間の移行や復旧も容易。 - ウ:×
電話番号宛のワンタイムパスコード(SMS/音声)は「OTPベースの認証」であり、パスキー(FIDO/WebAuthn)とは別系統。 - エ:×
複数のサービスを一度の認証で利用可能にするのはSSO(シングルサインオン)の説明。パスキーは認証手段であり、SSOの仕組みそのものではない。 - オ:×
DoS攻撃の耐性は認証方式固有というよりサービス・ネットワーク側の可用性設計の問題。パスキーが特別にDoSに強いという説明は不適切。
学習のポイント
- パスキー(FIDO/WebAuthn):公開鍵暗号+ローカル認証(生体/PIN)でフィッシング耐性が高い。
- 同期型パスキー:クラウドで資格情報を安全に同期し、複数デバイスで利用可能。
- OTP/SMS認証との違い:共有秘密を入力する認証でフィッシング耐性が弱い場合がある。
- SSOとの区別:SSOは認可・フェデレーションの仕組み、パスキーは認証の手段。