問題
本文中の下線⑬について、取り出したSTをPCは改ざんすることができない。その理由を20字以内で答えよ。
Y社は、従業員300名の事務用品の販売会社であり、会員企業向けにインターネットを利用して通信販売を行っている。ECサイトは、Z社のデータセンター(以下,z-DCという)に構築されており、Y社の運用PCを使用して運用管理を行っている。
X主任は、W課長から新たな検討事項の指示を受けた。そのときの、2人の会話を次に示す。
W課長:運用チームから、ECサイトのアカウント情報の管理負荷が大きくなってきたので、管理負荷の軽減策の検討要望が挙がっています。会員企業からは、自社で管理しているアカウント情報を使ってECサーバにログインできるようにして欲しいとの要望があります。これらの要望に応えるために、ECサーバのSAML2.0 (Security Assertion Markup Language 2.0)への対応について検討してください。
[SAML2.0の調査とECサーバへの対応の検討]
X主任がSAML2.0について調査して理解した内容を次に示す。
・SAMLは,認証・認可の要求/応答のプロトコルとその情報を表現するための標準規格であり,一度の認証で複数のサービスが利用できるシングルサインオン(以下,SSOという)を実現することができる。
・SAMLでは,利用者にサービスを提供するSP(Service Provider)と,利用者の認証・認可の情報をSPに提供するIdP(Identity Provider)との間で,情報の交換を行う。
・IdPは,SAMLアサーションと呼ばれるXMLドキュメントを作成し,利用者を介してSPに送信する。SAMLアサーションには,次の三つの種類がある。
(a)利用者がIdPにログインした時刻,場所,使用した認証の種類などの情報が記述される。
(b)利用者の名前,生年月日など利用者識別する情報が記述される。
(c) 利用者がもつサービスを利用する権限などの情報が記述される。
・SPは, IdPから提供されたSAMLアサーションを基に, 利用者にサービスを提供する。
・IdP, SP及び利用者間の情報の交換方法は, SAMLプロトコルとしてまとめられており,メッセージの送受信にはHTTPなどが使われる。
・z-DCで稼働するY社のECサーバがSAMLのSPに対応すれば,購買担当者は,自社内のディレクトリサーバ(以下,DSという)などで管理するアカウント情報を使って,ECサーバに安全にSSOでアクセスできる。
X主任は,ケルベロス認証を利用して社内のサーバにSSOでアクセスしている会員企業e社を例として取り上げ,e社内のPCがSAMLを利用してY社のECサーバにもSSOでアクセスする場合のシステム構成及び通信手順について考えた。
会員企業e社のシステム構成を図6に示す。
図6で示した会員企業e社のシステムの概要を次に示す。
・e社ではケルベロス認証を利用し,社内サーバにSSOでアクセスしている。
・e社内のDSは,従業員のアカウント情報を管理している。
・PC及び社内サーバは,それぞれ自身の共通鍵を保有している。
・DSは,PC及び社内サーバそれぞれの共通鍵の管理を行うとともに,チケットの発行を行う鍵配布センター(以下,KDCという)機能をもっている。
・KDCが発行するチケットには,PCの利用者の身分証明書に相当するチケット(以下,TGTという)とPCの利用者がアクセスするサーバで認証を受けるためのチケット(以下,STという)の2種類がある。
・認証連携サーバはIdPとして働き,ケルベロス認証とSAMLとの間で認証連携を行う。
X主任は,e社内のPCからY社のECサーバにSAMLを利用してSSOでアクセスするときの通信手順と処理の概要を,次のようにまとめた。
e社内のPCからECサーバにSSOでアクセスするときの通信手順を図7に示す。
図7中の、(i)~(ix)の処理の概要を次に示す。
(i)購買担当者がPCを使用してECサーバにログイン要求を行う。
(ii)SPであるECサーバは、SAML認証要求(SAML Request)を作成しIdPである認証連携サーバにリダイレクトを要求する応答を行う。ここで、ECサーバには、IdPが作成するデジタル署名の検証に必要な情報などが設定され,IdPとの間で信頼関係が構築されている。
(iii)PCはSAML RequestをIdPに転送する。
(iv)IdPはPCに認証を求める。
(v)PCは,KDCにTGTを提示してIdPへのアクセスに必要なSTの発行を要求する。
(vi)KDCは,TGTを基に,購買担当者の身元情報やセッション鍵が含まれたSTを発行し,IdPの鍵でSTを暗号化する。さらに,KDCは,暗号化したSTにセッション鍵などを付加し,全体をPCの鍵で暗号化した情報をPCに払い出す。
(vii)PCは,⑬受信した情報の中からSTを取り出し,ケルベロス認証向けのAPIを利用して、STをIdPに提示する。
(viii)IdPは,STの内容を基に購買担当者を認証し,デジタル署名付きのSAMLアサーションを含むSAML応答(SAML Response)を作成して,SPにリダイレクトを要求する応答を行う。
(ix)PCは,SAML ResponseをSPに転送する。SPは,SAML Responseに含まれるデジタル署名を検証し,検証結果に問題がない場合,SAMLアサーションを基に,購買担当者が正当な利用者であることの確認,及び購買担当者に対して提供するサービス範囲を定めた利用権限の付与の,二つの処理を行う。
2023年度(令和5年度)春期 ネットワークスペシャリスト試験 午後Ⅱより引用・改変
・
・
・
・
・
・
答え IdP の鍵を所有していないから
・出題ポイントの確認
Y社は、自社で管理しているアカウント情報を使ってECサーバにログインできるようにするため、SAMLの導入を検討しています。購買担当者がECサイトにアクセスする際に、IdPでの認証にパスする必要がありますが、その際に購買担当者のPCは、社内のKDC(鍵配布センター)から、ST(サーバで認証を受けるためのチケット)を取得してIdPに送信します。KDCから受け取ったSTをPCで改ざんできない理由が本問の出題ポイントとなります。
・ケルベロス認証とは
KDCやSTといった要素は、ケルベロス認証で用いられる要素となり、本問に回答するにはケルベロス認証について理解しておく必要があります。
ケルベロス認証とは、ネットワーク上で安全にユーザー認証を行うためのプロトコルです。主に、組織内のネットワーク(イントラネット)で利用され、シングルサインオン(SSO)を実現する際に利用されます。
ケルベロス認証は、チケットと呼ばれる電子的な証明書を使ってユーザー認証を行います。
- 認証要求:
- ユーザーがネットワーク上のサービスにアクセスしようとすると、クライアントは鍵配布センター(Key Distribution Center, KDC)内の1機能である認証サーバ(Authentication Server, AS)に認証要求を送信します。
- チケット発行チケット(TGT)の発行:
- ASは、ユーザーのIDとパスワードを検証し、正当なユーザーであれば、チケット発行チケット(Ticket Granting Ticket, TGT)を発行します。
- サービスチケット(ST)の発行:
- クライアントは、KDCの1機能であるチケット発行サーバ(Ticket Granting Server, TGS)にTGTを提示し、サービスチケット(Service Ticket, ST)の発行を要求します。
- TGSは、TGTを検証し、ユーザーが正当なユーザーであれば、STを発行します。
- サービスへのアクセス:
- クライアントは、サービスにSTを提示し、サービスへのアクセスを許可されます。
なぜTGTとSTの2種類のチケットがあるか理解が難しいかもしれませんが、TGTは身分証明書のようなもので、STは入館チケットのようなものです。入館に身分証が必要だったとしても、入館のために毎回身分証を更新したりはしませんよね。ケルベロス認証では、できるだけパスワードの再入力をしなくてよいように、取得した身分証を一定期間は有効にしておき、身分の再チェックをしなくてよいようにしています。一方で、入館チケットは毎回作り直すことで、入館チケットのコピーが出回って不正に入館されるのを防ぐことができます。
・KDCがSTを暗号化するプロセスについて
KDC(鍵配布センター)は、ST(サービスチケット)を作成し、クライアントに送信する際に、事前にSP(サービスプロバイダ)から取得して登録しておいた、SPの秘密鍵(共通鍵)を使って暗号化します。本文中では、「IdPの鍵でSTを暗号化する」という部分に該当します。
・解の導出
このSPの秘密鍵(共通鍵)は、SP(サービスプロバイダ)とKDC(鍵配布センター)には登録されていますが、通常はクライアントのPCには登録されていないので、「取り出したSTをPCは改ざんすることができない」ということになります。
よって、解答は、「IdP の鍵を所有していないから」となります。