情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

【問題文】
利用者IDとパスワードによる認証だけでは、推測が容易なパスワードを利用者が設定してしまうと、長さが10字であったとしても（ｅ）攻撃に対して脆弱となるので、（f）への変更が可能か検討することにした。

【IPA公式解答】
(f): 多要素認証

この設問に、「TLSによる認証」と答えたのですがこれは的外れでしょうか。

利用者が推測が容易なパスワードを設定することが問題としてあがっており、
パスワードを使った認証自体に問題があると解釈した上で、
問題文中に多要素認証に関する記述がなかったため、クライアント証明書使うのかな～と考えてしまいました。

「TLSによる認証」を（f）に当てはめるのは少し異なる文脈になります。

TLS（Transport Layer Security）は、主に通信の暗号化やサーバーとクライアント間のデータ保護に用いられるプロトコルです。
TLS自体は、認証というよりは通信路を安全にする技術で、パスワードの盗聴や中間者攻撃を防ぐのに役立ちます。

しかし、利用者IDとパスワードの認証プロセスそのものを補完する多要素認証（MFA）とは異なり、直接的に「推測が容易なパスワード」に対する防御策とは言えません。

したがって、TLSはセキュリティ強化において重要な役割を果たすものの、文脈としては「多要素認証」のほうが適しているでしょう。

※TLSは、通信の暗号化によってパスワードの安全な送信を確保する役割を果たすため、パスワードの「推測」による攻撃に対して直接の対策とは言えません。

認証の対象は2種類あります。
・人
    知識認証（パスワード、PIN）
    所持認証（スマホなどの認証器）
    生体認証（顔、指紋、光彩など）
    ※以上を組み合わせて多要素認証を実現する
・端末（PC、デバイスなど）
    クライアント証明書
    その他、MACアドレスなど端末固有情報

人に対する認証か、端末に対する認証かを区別することは重要です。
この設問では人に対する認証を問われているので、多要素認証が解答となります。

>>aoyama414 さま
ありがとうございます。
もっと過去問演習をして適した解答を作成できるように頑張ります。

>>pix さま
ありがとうございます。
認証の対象が2種類あるという考えがすっぽり抜けておりました。