二段階認証とは?
.001-2-1024x768.jpeg)
「二段階認証」とは、ID/パスワード入力の他に、アプリでのログイン可否の選択や、セキュリティコードの入力を追加することで、利用者以外が不正に情報にアクセスすることを防止する仕組みのことです。
一般的にソフトウェアやWebサイトにログインする場合、「IDとパスワードを入力」します。しかし、「二段階認証」の場合では、さらに指紋やSMSなどもう一度認証作業が必要となります。つまり、一度ではなく「二度の認証を行うこと」を二段階認証と呼びます。
「二段階認証」には、いくつかの方法がありますが、大きく分け、以下の2通りに分けられます。
- IDとパスワードのような同じ種類の認証を2回行う
- 違う種類の認証を2つ組み合わせる(二要素認証)
認証の方法としては、IDとパスワードという従来からある一般的な認証方法とは別に、指紋や手のひらの静脈パターンのような生体情報、解錠カードなど所有物による所持情報によるものなどがあります。二段階認証では、2つを組み合わせて利用されます。
ここで、「二段階認証」をすることのメリットも紹介していきます。従来の単一の認証方法では、それが攻撃によって突破されるとアウトです。しかし、二段階認証になると最初の認証が突破されても、もう一つの認証でブロックすることができます。さらに、二要素認証として複数の認証方法を組み合わせることで、さらに攻撃に対する防御力を高めることが出来ます。
このように、悪意を持った第三者によって認証を突破されるリスクは非常に低くなり、強固なセキュリティを実現することができるようになっています。
二段階認証に関する問題(令和3年 問60)
情報システムにおける二段階認証の例として,適切なものはどれか。
出典:令和3年度 春期 ITパスポート試験公開問題 問60
ア. 画面に表示されたゆがんだ文字列の画像を読み取って入力した後,利用者IDとパスワードを入力することによって認証を行える。
イ. サーバ室への入室時と退室時に生体認証を行い,認証によって入室した者だけが退室の認証を行える。
ウ. 利用者IDとパスワードを入力して認証を行った後,秘密の質問への答えを入力することによってログインできる。
エ. 利用者IDの入力画面へ利用者IDを入力するとパスワードの入力画面に切り替わり,パスワードを入力することによってログインできる。
正しいと思う選択肢をクリックしてみてください!!!
ア. 画面に表示されたゆがんだ文字列の画像を読み取って入力した後,利用者IDとパスワードを入力することによって認証を行える。
不正解です。
イ. サーバ室への入室時と退室時に生体認証を行い,認証によって入室した者だけが退室の認証を行える。
不正解です。
ウ. 利用者IDとパスワードを入力して認証を行った後,秘密の質問への答えを入力することによってログインできる。
正解です。
エ. 利用者IDの入力画面へ利用者IDを入力するとパスワードの入力画面に切り替わり,パスワードを入力することによってログインできる。
不正解です。
PCI DSSとは?
.002-2-1024x768.jpeg)
「PCI DSS」とは、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準のことです。
「PCI DSS」では、「Payment Card Industry Data Security Standard」の頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立した「PCI SSC(Payment Card Industry Security Standards Council)」によって運用、管理されています。
「PCI DSS」が設立される前は、各国際カードブランドが独自に運用していたリスク管理プログラムがあり、加盟店は各ブランドの求める要求に応える必要がありました。しかし、現在では、一般的に、ひとつの加盟店で複数のカードが使える仕組みとなっています。そのため、各ブランドの要求に対応しなくてはならない加盟店は、非常に大きな負荷となってしまいます。
なお、その状況とは裏腹に、インターネットの普及に合わせ、国境を隔てたネット決済の普及とともに、極めて大規模なクレジットカード被害も世界規模で発生するようになり、ICカードによるカード偽造防止や対面取引における暗証番号での本人確認ではますます不十分となってきました。
ここで、加盟店のリスクとコストに対応できる仕組みを作るべく、国際カードブランド5社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークができる流れとなりました。
「PCI DSS」を遵守することにより、企業価値(信用、ブランド)の向上はもちろんのこと、これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義できます。現実的にハッカーやクラッカー等による 様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減することができます。
PCI DSS(バージョン3.2)には、カード会員データおよび取り引き情報を保護するための以下12要件が規定されています。
- ネットワークとシステムの安全な構成
- システムのデフォルトパスワードの変更
- 保有するカードデータの保護
- 送信するカードデータの暗号化
- システムとウイルス対策のアップデート
- 安全なシステムの開発と保守
- カードデータの利用目的の制限
- システムへのアクセス制限
- カードデータへのアクセス制限
- システムやカードデータへのアクセスログ監視
- システムと手順の定期的な確認
- 担当者の情報セキュリティ方針の徹底
PCI DSSに関する問題(令和3年 問61)
クレジットカードの会員データを安全に取り扱うことを目的として策定された,クレジットカード情報の保護に関するセキュリティ基準はどれか。
出典:令和3年度 春期 ITパスポート試験公開問題 問61
ア. NFC
イ. PCI DSS
ウ. PCI Express
エ. RFID
正しいと思う選択肢をクリックしてみてください!!!
ア. NFC
不正解です。
イ. PCI DSS
正解です。
ウ. PCI Express
不正解です。
エ. RFID
不正解です。
.001-2-300x225.jpeg)
コメント