トークンの真正性
情報セキュリティマネジメント試験「JSON Web Token(JWT)」の問題
利用者情報を含み署名が付された自己完結型のトークンで、サーバ側で状態を持たず検証できる仕組みはどれか。
ア生体情報を読み取り、登録済みの特徴と照合して本人を確かめる仕組み。
イ通信内容を暗号化し、経路上で盗聴されても読み取られないようにするだけの仕組み。
ウ端末をネットワークに接続する前に検査し、基準を満たさない端末を隔離する仕組み。
エ利用者情報と署名を含み、改ざんを検知でき状態保持なしで検証できるトークン。
正解
エ.利用者情報と署名を含み、改ざんを検知でき状態保持なしで検証できるトークン。
JWTはヘッダ・ペイロード・署名から成り、内部に利用者情報を持ち署名で改ざんを検知できるため、サーバがセッションを保持せずトークン自体の検証だけで認可判断ができる。
?選択肢ごとの解説
ア ×生体情報の照合は本人確認の手段で、情報と署名を内包し検証するトークンであるJWTとは異なる。
イ ×通信の暗号化は内容の秘匿が目的で、情報を運び署名で真正性を示すJWTとは役割が異なる。
ウ ×接続前の端末検査と隔離は検疫の話で、認可情報を運ぶトークンであるJWTとは無関係である。
エ ○JWTはヘッダ・ペイロード・署名から成り、内部に利用者情報を持ち署名で改ざんを検知できるため、サーバがセッションを保持せずトークン自体の検証だけで認可判断ができる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w4-0008
