認証に関する問題です。皆さんも、スマホとかで顔認証、指紋認証、パスワードと日ごろから様々な認証方式を利用しているはずです。今後も様々な新たな認証方式が生まれていくことが予想され、引き続き重要技術のひとつです。

用語を技術的な詳細はともかく、ざっくりと覚えておきましょう。

１．生体認証では、IDとパスワードに加えてセキュリティトークンによって利用者を認証する。

生体認証は、その名の通りで、顔認証や指紋認証など、なんらかの生体上の識別による認証方式です。IDやパスワードを利用しない点が特徴になりますので、誤りですね。

２．チャレンジレスポンス認証では、指紋認証、静脈認証、署名の速度や筆圧などによって利用者を認証する。

まともにチャレンジレスポンス認証の技術を説明するとやや複雑なものになります。結局は、パスワードのやり取りのひとつで、サーバは認証するクライアントに対して、ある「データ」を渡し、クライアント側ではユーザがパスワードを入力、さらにデータと入力パスワードを組み合わせて、人が解読できないデータ値に変換し、サーバに送ります。つまり、パスワードをクライアントからサーバにそのまま送ることを防いでいるわけですね。このやり方を、チャレンジレスポンス認証といいます。

説明は、生体認証についてです。よって、誤りです。

３．二要素認証では、パスワードだけではなく秘密の質問の答えの 2 つを組み合わせることによって利用者を認証する。

典型的な引っ掛け問題です。二要素認証と二段階認証についてです。

認証に用いられる要素には、三種類あると考えられています。「知識」、「所有」、「生体」です。

1. 知識：パスワード、暗証番号など
2. 所有：カード、スマホなどの電子機器、身分証
3. 生体：指紋、顔など

これらのうち、２要素を組み合わせること自体を、二要素認証といいます。

そしてまぎらわしいのが、二段階認証です。これは段階を分けて、複数回の認証を行うことでセキュリティを高める狙いのやり方で、よくあるのが、パスワード入力後、SMSに何桁かの暗証番号が送信され、それを何分以内に入力するとかがあります。つまり、要素が同じか異なるかに限らず、何段階かに分けて認証を行うことです。

説明は、同じ要素の認証であり、二段階認証のことを言っています。よって、誤りです。

４．リスクベース認証では、普段と異なる環境からログインする際、通常の認証に加えて合言葉などによって利用者を認証する。

これは説明の通りです。

いつもはスマホからアクセスしていたけど、タブレットやPCからアクセスすると、追加認証が求められるとかありますね。まさにそれです。

よって、これは正しいです。

５．ワンタイムパスワードによる認証では、一度認証されれば、利用する権限を持つ各サーバやアプリケーションでの認証が不要となる。

まず、ワンタイムパスワードとは、使い捨ての一度きりのパスワードがサーバ側から発行され、それを使って認証するやり方です。前述したような、SMSを使ったパスワードのやり取りなどがその代表例です。

説明はまったく合わないですね。誤りです。

以上より、正解は４です。