Categories: 情SG試験

情報セキュリティマネジメント試験。出るところだけ覚える。認証のところで出る用語と内容。認証局は?検証局は?何を管理するの?

情報セキュリティマネジメント試験で、出てくる所を中心に書いています。ここだけ!ここだけ覚えてれば合格!これを合言葉に必要最小限を覚えますよー!

情報セキュリティマネジメント認証とは?

認証とは??いきなりですが、この用語、知っていなければ話になりません。認証とはどういうことでしょう。

認証とは

人やモノ、いろんな対象物がそれそのものだと正しいことを確認すること。

具体例:ショッピングサイトなどのログイン。

稼働中の人

毎日の生活の中で、いっぱいでてきます。スマホを使うときの暗証番号、キャッシュカードを使う時の暗証番号、顔認証、すべて認証です。

認証の種類

認証の種類には、何があるかというと2つです。この2つを覚えていれば、情報セキュリティマネジメント試験はとりあえずOKです。

二者間認証
2つのモノ・人の間で行う認証のことをを「二者間認証」といいます。

二者間認証は、言葉は難しいけど、わかりやすくいうと「ログイン」。

ある人がサーバーに対して、ログインしてよいですか?よいですよ。とメッセージのやり取りをしています。
このとき、ログインしたいある人とログインさせるかどうか許可するサーバーとの間には、2つのモノしか存在しません。

三者間認証

認証の仕組みに使われる人・モノが3つある認証の事。
これは、二者間認証に加えて、第三者が加わる認証のことです。第三者が加わることで、サーバーを認証する仕組みが出来上がります。

認証を支える技術

認証が、人・モノを確かめるということをわかった上で、実際に認証を行う技術にはどのようなものがあるか見てみましょう。用語と内容だけ覚えましょう。目指すは試験突破のみです。

ディジタル署名

RSA、DSAのアルゴリズムを使った公開鍵暗号方式を使った認証方式。本人の秘密鍵を持っているのは、本人そのものだ、という考え方を使っています。

リスクベース認証
ログインID、パスワードに加え、合言葉や秘密の答え、など本人しか知らない情報を聞いてくることがあります。そのことをリスクべ―ス認証といいます。
※ショッピングサイトにユーザー登録するときに、好きな食べ物は?とか聞いてきますよね。あれのことです。

メッセージ認証
送信されたデータの内容が正しいかどうか確認するために、データそのものに秘密鍵を加える事です。このときこの鍵のことをMAC(Message Authencation Code)といいます。MACはハッシュ関数で作られることが多いです。

公開鍵基盤(PKI)とは

認証の仕組みがもっと進んで、社会的に信用をつくる仕組みが「公開鍵基盤」です。三者間認証を使って信用を得るための仕組みが「公開鍵基盤」、Public Key Infrastructure(PKI)を実現しています。どんなことが試験にでるのか整理します。

公開鍵基盤(PKI)で覚えること

公開鍵基盤がやっていることと、管理しているものを覚えるとよいです。

市役所みたいなもんですかね。受付して、書類を作ってあげて、それを管理する、みたいな。PKIはそういう感じのことをしています。

認証局CA(Certificate Authority)

認証局(CA)は信頼できる機関や政府などが行っています。

稼働中

信頼出来る機関としては、ディジサート(旧日本ベリサイン)とか、GMOグローバルサインとかが有名ですよね。

認証局(CA)が行っていること
RA(Registration Authority:登録局)

証明書の登録受付、発行審査を行う
IA(Issue Authority:発行局)

証明書を発行するところ。申請したモノの正しさを証明するディジタル証明書を発行する

そのほかの組織・VA(Validation Authorty:検証局)

VAはディジタル証明書の管理を行う所です。証明書が有効かどうか管理する。

検証局(VA)が行っていること
・有効期限が切れた証明書や、鍵がばれた証明書などをCA(認証局)に申請し、失効リストができます。この失効リストを管理します。
失効リストは(CRL Certificate Revocation List)と呼ばれます。

覚える!VAは失効リスト(CRL)を管理

その他・認証について試験のために覚えること

EV SSL証明書

よりすごいw証明書。審査に基準が設けられたディジタル証明書のこと。


OCSP

証明書が失効しているかどうか確認するためのプロトコルです。

ハイブリッド暗号方式

公開鍵暗号方式と、共通鍵暗号方式を組み合わせることで鍵管理コストと処理性能の両立を図ることです。 (平成31年春 情報セキュリティマネジメント試験より)

CAPTCHA

人からのアクセスであることを確認できるように、画像などを用いて質問を行うことです。 (平成31年春 情報セキュリティマネジメント試験より)

まとめ・認証についての内容と語句を覚えよう

このページに書いてある事を覚えて試験に備えましょう!認証には、ニ間者認証、三者間認証がある事。

認証局(CA)の働きや検証局(VA)の働きを覚えると良いです。試験で語句聞いてきますからね。

KadochuKadochu