情報セキュリティマネジメント試験 科目A キーワード集 > リスクベース認証
概要
リスクベース認証とは、ログイン時の状況からリスクの高さを判定し、普段と異なる「あやしい」アクセスのときだけ追加の認証を求める認証方式です。いつもどおりのアクセスでは通常のログインで済ませ、利便性と安全性を両立させます。
例えば、いつもと違う国・端末・時間帯からのログインを検知すると、合言葉やワンタイムパスワードなどの追加認証を要求します。普段使いの手間を増やさずに、不正ログインを防ぐのが狙いです。
詳細(判断材料・仕組み)
リスク判定に使う情報
- アクセス元のIPアドレス・地域(普段と違う国からか)
- 利用端末・ブラウザ(いつもの端末か)
- アクセスの時間帯・頻度・行動パターン
動作
リスクが低ければそのままログイン、リスクが高ければ追加認証(合言葉・ワンタイムパスワード・メール確認など)を求めます。
リスクベース認証のキーワードは「いつもと違うアクセスのときだけ追加認証」「利便性と安全性の両立」。常に多要素を求める方式と違い、必要なときだけ強化する点が特徴です。
利点と注意点
- 利点:普段の利便性を保ちつつ、不審なログインだけ防御を強められる。
- 利点:パスワードリスト攻撃などによる不正ログインの抑止に効果的。
- 注意:リスク判定の精度が低いと、正規利用者に過剰な追加認証を求めたり、見逃したりする。
- 多要素認証やSSOと組み合わせて使われることが多い。
活用・関連例
ネットバンキングや大手Webサービスでは、見慣れない端末・場所からのログイン時に「本人確認のため追加認証を行います」と表示されることがあります。これがリスクベース認証の典型例です。SSO基盤と組み合わせ、企業の業務システムでも広く採用されています。
試験での問われ方
- 「普段と異なるアクセスを検知したときだけ追加認証を求める方式はどれか」→ リスクベース認証。
- 「リスクベース認証の利点はどれか」→ 利便性と安全性の両立。