中小企業診断士 過去問
令和6年度（2024年）
問178 (経営情報システム 問17)

冒頭の解説より、パスキー認証では生体認証が用いられます。

したがって、不適切な選択肢です。

冒頭の解説より、パスキー認証では複数のデバイス間で同じパスキー（FIDO認証資格情報）を用いることができることは、パスキーに関する記述として最も適切であり正解の選択肢となります。

冒頭の解説より、利用者の電話番号にワンタイムパスコードを通知して、そのコードを用いて認証することではありません。

パスキー認証では、ユーザはSMSで送られる確認コードの受信を待つ必要はないため不適切な選択肢です。

一度の認証で許可されている複数のサーバやアプリケーションを利用できる仕組みは、シングルサインオンです。

したがって、不適切な選択肢です。

パスキー認証は、パスワード認証に比べて情報漏えいやフィッシング詐欺による不正アクセスへの耐性があります。（従来のようにパスワードを設定する必要がなく、パスワードが漏えいすることを防止できるため）

DoS攻撃は、受信側のサーバに大量のトラフィックを送信してサーバをダウンさせることをいいます。パスキー認証によって受信側のサーバに大量のトラフィックが送信されることを防止できるわけではないため、不適切な選択肢です。

→ これは間違いです。
パスキー認証では、生体認証（顔認証や指紋認証など）がよく使われます。

これはFIDO（ファイド）という認証の仕組みに基づいていて、秘密鍵を端末に安全に保存し、それを使って本人確認を行います。

生体認証はパスワードよりも安全で便利なので、パスキーと一緒に使われるのが一般的です。

→ これが正しい説明です。
最近のパスキーは、AppleのiCloudキーチェーンやGoogleのパスワードマネージャーなどを使って、他の自分の端末とも自動で同期されます。

たとえば、iPhoneで作成したパスキーを、同じApple IDのiPadやMacでも使えるようになります。

これはクラウドに安全に保存されているからです。

→ これは間違いです。
この説明は「SMS認証」や「ワンタイムパスワード（OTP）」の方法です。

SMSで送られてくる6桁などのコードを入力するやり方は、パスワードレスに見えるかもしれませんが、パスキー認証とは違う仕組みです。

パスキー認証は、秘密鍵を使って認証する方法です。

→ これは間違いです。
この説明は「シングルサインオン（SSO）」という仕組みの説明です。

SSOでは、一度ログインすれば、同じグループに属する複数のサービスに続けてログインできます。

しかしパスキー認証は、あくまで「1つのサービス」にログインする際の本人確認の方法です。SSOとパスキーは別の概念です。

→ これも間違いです。
DoS攻撃（サービス妨害攻撃）は、サーバに大量のアクセスを送って使えなくする攻撃です。

これはパスワード認証でもパスキー認証でも、直接的には関係しません。

つまり、パスキーだからDoSに強くなるというわけではなく、耐性があるとは言えません。