トークンの真正性

情報セキュリティマネジメント試験JSON Web Token(JWT)」の問題

情報セキュリティ対策・実装技術トークンの真正性難易度:normal
利用者情報を含み署名が付された自己完結型のトークンで、サーバ側で状態を持たず検証できる仕組みはどれか。
生体情報を読み取り、登録済みの特徴と照合して本人を確かめる仕組み。
通信内容を暗号化し、経路上で盗聴されても読み取られないようにするだけの仕組み。
端末をネットワークに接続する前に検査し、基準を満たさない端末を隔離する仕組み。
利用者情報と署名を含み、改ざんを検知でき状態保持なしで検証できるトークン。
正解
利用者情報と署名を含み、改ざんを検知でき状態保持なしで検証できるトークン。

JWTはヘッダ・ペイロード・署名から成り、内部に利用者情報を持ち署名で改ざんを検知できるため、サーバがセッションを保持せずトークン自体の検証だけで認可判断ができる。

?選択肢ごとの解説

ア ×生体情報の照合は本人確認の手段で、情報と署名を内包し検証するトークンであるJWTとは異なる。
イ ×通信の暗号化は内容の秘匿が目的で、情報を運び署名で真正性を示すJWTとは役割が異なる。
ウ ×接続前の端末検査と隔離は検疫の話で、認可情報を運ぶトークンであるJWTとは無関係である。
エ ○JWTはヘッダ・ペイロード・署名から成り、内部に利用者情報を持ち署名で改ざんを検知できるため、サーバがセッションを保持せずトークン自体の検証だけで認可判断ができる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w4-0008

【情報セキュリティマネジメント試験】JSON Web Token(JWT)の問題と解答・解説|ukamiru 過去問