平成27年度 秋期 情報セキュリティスペシャリスト試験 午前II 問17
2025年7月21日
【問題17】
OAuth2.0において,WebサービスAの利用者Cが,WebサービスBにリソースDを所有している。利用者Cの承認の下,WebサービスAが,リソースDへの限定的なアクセス権限を取得するときのプロトコルOAuth2.0の動作はどれか。
WebサービスAが,アクセストークンを発行する。
WebサービスAが,利用者Cのデジタル証明書をWebサービスBに送信する。
WebサービスBが,アクセストークンを発行する。
WebサービスBが,利用者Cのデジタル証明書をWebサービスAに送信する。
【解説】
OAuth2.0は、リソース所有者(利用者C)の許可に基づいて、第三者のクライアント(WebサービスA)がリソースサーバ(WebサービスB)にある保護されたリソース(リソースD)へアクセスするための限定的なアクセス権を取得する仕組みです。
この仕組みの基本的な流れは以下のとおりです。
- WebサービスAは利用者Cに対して、WebサービスBのリソースDへのアクセス権限を要求します。
- 利用者Cがこれを許可すると、WebサービスAはWebサービスBの認可サーバに対してアクセストークンを要求します。
- WebサービスBの認可サーバはアクセストークンを発行します(このトークンが“鍵”のようなものになります)。
- WebサービスAはアクセストークンを用いて、WebサービスBにあるリソースDへアクセスできるようになります。
この仕組みによって、利用者のパスワードなどを直接他サービスに渡さずに、安全な委任が可能になります。
ア: WebサービスAが,アクセストークンを発行する。
誤り。アクセストークンはWebサービスBの認可サーバが発行します。WebサービスAはクライアントであり、発行権限はありません。
イ: WebサービスAが,利用者Cのデジタル証明書をWebサービスBに送信する。
誤り。OAuth2.0ではデジタル証明書を用いたやり取りは行いません。トークンベースの認可モデルです。
ウ: WebサービスBが,アクセストークンを発行する。
正しい。アクセストークンはWebサービスBの認可サーバが発行し、それを使ってWebサービスAがリソースDにアクセスします。
エ: WebサービスBが,利用者Cのデジタル証明書をWebサービスAに送信する。
誤り。OAuth2.0では証明書の送信は行いません。トークンによる認可が基本です。
【答え】
ウ: WebサービスBが,アクセストークンを発行する。
出典:平成27年度 秋期 情報セキュリティスペシャリスト試験 午前II 問17
