[https://www.youtube.com/watch?v=4EQWJLsrJko:embed:cite]

平成26年秋期の情報処理試験午後II問1を題材に、グローバル企業の認証基盤統合について解説します。日本、欧米、アジアでバラバラな認証方式を統一する際の脆弱性や、ID統合の落とし穴をモモちゃんとサクラ先輩が紐解きます。SPNEGOやケルベロス認証の仕組みといった過去の出題内容に加え、ゼロトラストや脱パスワードなど2026年の最新トレンドも交え、現代のセキュリティ常識へと知識をアップデートできる内容です。 学習すべき重要なキーワードについて説明します。まずSPNEGOは、ウェブブラウザを利用してシングルサインオンを実現するための技術であり、HTTPヘッダを用いて認証情報のやり取りを行います。この仕組みの裏側で機能しているのがケルベロス認証です。ケルベロス認証では、TGTとSTという二つの要素が重要な役割を果たします。TGTは本人であることを証明するパスポートのようなものであり、STは特定のシステムに入場するためのチケットとして機能します。ユーザーはログイン時にTGTを取得し、システムにアクセスする際にそのTGTをSTに交換することで、安全にシステム内へ入ることができます。次に認証Cookieは、ログイン済みであることを示す通行手形として機能します。ユーザーがフォームからログインするとサーバーがこのトークンを発行し、ポータル画面などへリダイレクトされる仕組みになっています。また、システムの統合において避けて通れないのがID統合ですが、ここでは日本と欧米のデータベース間でIDが重複してしまったり、契約社員の利用者情報がシステムに取り込まれなかったりといった問題が発生しがちです。これらを解決する手段としてグローバルIDの導入が検討されます。さらに、在宅勤務などのリモートアクセスで利用されるVDIは、ネットワーク遅延に弱く、画面転送のレスポンスが悪化して操作がカクつくという弱点を持っています。リモート環境ではなりすましのリスクも高まるため、パスワードのみの認証は危険であり、OTPトークンのような所持情報を追加した二要素認証が求められます。そして、セキュリティテストを実施する際の注意点としてWAFの存在が挙げられます。脆弱性スキャンを実施する際は、スキャンツールのIPアドレスをWAFのホワイトリストに登録しておかないと、通信が遮断されて正しいテストができません。また、SQLインジェクションへの対策は検索バーなどの入力フォームに限定されず、隠しヘッダやCookieを標的とした攻撃も存在するため、システム全体の仕組みを理解して対応することが必要です。最後に、現代のセキュリティアーキテクチャについても触れておきます。2014年当時のオンプレミスなActive DirectoryやVPNを用いた境界防御型のシステムとは異なり、現代ではゼロトラストネットワークアクセスを用いた脱VPNが常識となっています。これに伴い、IDaaSを利用したSAMLやOIDCによるウェブネイティブなプロトコルへの移行が進んでおり、FIDO2やパスキーなどの生体認証を活用した脱パスワードの動きも加速しています。これらの技術的な変遷を対比して理解することが不可欠です。