アクセスいただきありがとうございます。梅崎です。
こちらでは、**出題されやすいセキュリティ用語(特に認証方式やパスワード関連)**について整理しました。
内容には誤りや解釈の違いが含まれる可能性がありますので、参考程度にご覧いただき、ご活用は自己責任でお願いいたします。
🔑 出題されやすいセキュリティ用語(認証・パスワード関連)
認証方式
二要素認証(2FA):知識・所有・生体のうち2種類
多要素認証(MFA):二要素以上すべて含む広義の概念
ワンタイムパスワード(OTP):1回限り有効、時間制限あり
多段階認証:ログイン後に追加の確認を行う方式
CAPTCHA(キャプチャ):文字認識やパズルで人間かどうかを確認
リプレイ攻撃対策:ワンタイムパスワード、チャレンジレスポンス
パスワード管理
強制パスワード変更ポリシー(定期的変更は非推奨にシフト傾向)
パスワードリスト攻撃:使い回しを狙う攻撃
ブルートフォース攻撃:総当たり
辞書攻撃:よくある単語で試す
アカウントロックアウト:一定回数失敗でロック
パスワードマネージャ/保管ソフト:安全に保存するための仕組み
オートコンプリート(自動入力補完):ブラウザに保存されたPWを自動入力する機能(利便性とリスク両方あり)
ユーザ体験とセキュリティ
シングルサインオン(SSO):1度の認証で複数サービス利用可
フェデレーション認証(例:Googleアカウントでログイン)
覚えやすく強いPW作成ルール(長さ・複雑さ・使い回し禁止)
✅ 午後問題での典型的な問われ方
「CAPTCHAの目的は何か」
「パスワードリスト攻撃への有効な対策はどれか」
「OTPはどんな攻撃に有効か」
「オートコンプリート機能を利用する際のリスクは何か」
- CAPTCHA
問題:CAPTCHAの目的として正しいものはどれか。
a. パスワードを複雑に生成する
b. 人間かボットかを区別する
c. 入力文字列を暗号化する
d. パスワードを自動入力する
正解:b
考え方:CAPTCHAは「人間 vs 機械」を見分ける仕組み。→ ロボットの不正アクセス防止。
- ワンタイムパスワード(OTP)
問題:リプレイ攻撃に有効な対策はどれか。
a. ワンタイムパスワード
b. 辞書攻撃
c. オートコンプリート
d. パスワードリスト攻撃
正解:a
考え方:リプレイ攻撃は「過去の認証情報を使い回す」攻撃。OTPは1回限りで無効になるので効果的。
- パスワードリスト攻撃
問題:パスワードリスト攻撃への有効な対策はどれか。
a. CAPTCHAの導入
b. 多要素認証の利用
c. 辞書攻撃防止辞書の利用
d. オートコンプリートを有効化
正解:b
考え方:リスト攻撃は「使い回し」が狙われる。パスワード以外の要素(スマホや指紋)を組み合わせると突破できない。
- オートコンプリート
問題:オートコンプリート機能を有効にした場合のリスクはどれか。
a. 入力のたびに複雑なパスワードが生成される
b. 他人が端末を操作するとパスワードが自動入力される
c. 辞書攻撃の成功率が上がる
d. リプレイ攻撃に弱くなる
正解:b
考え方:便利だが、PCやスマホを盗まれたら自動入力でパスワードが漏れる危険性。
- 二要素認証(2FA)
問題:次のうち二要素認証に該当するものはどれか。
a. パスワード + PINコード
b. 指紋認証 + 顔認証
c. パスワード + スマホアプリ認証
d. ICカード + スマホ
正解:c
考え方:要素は「知識(パスワード)」「所有(スマホ)」「生体」の3カテゴリ。違うカテゴリを組み合わせたときのみ二要素認証になる。
- ブルートフォース攻撃
問題:ブルートフォース攻撃に有効な対策はどれか。
a. サニタイジング
b. アカウントロックアウト
c. ワンタイムパスワード
d. オートコンプリート
正解:b
考え方:総当たりなので、一定回数でロックすれば現実的に突破できなくなる。
- シングルサインオン(SSO)
問題:シングルサインオンの利点はどれか。
a. 認証の都度、パスワードを変える必要がある
b. 一度の認証で複数のサービスが利用できる
c. パスワードが毎回異なるので覚える必要がない
d. 生体認証とパスワードを組み合わせる
正解:b
考え方:利便性を高める方式。ただしSSOの突破はすべてのサービスが危険に晒されるので、セキュリティ強化とセットで使うのが一般的。
💡 全体の考え方
入力値の無害化(サニタイジング)系 → XSS・SQLインジェクション対策
使い回し/総当たり系 → 多要素認証・アカウントロック・強いパスワード
リプレイ系 → ワンタイムパスワード・チャレンジレスポンス
人間かどうか → CAPTCHA
利便性とリスク → オートコンプリート、SSO