Overview
リスクベース認証(Risk-Based Authentication / Adaptive Authentication)とは、ユーザーの認証要求に対して、そのコンテキスト(状況)を多角的に分析し、リスクレベルに応じて認証の強度を動的に変化させるセキュリティ手法です。低リスクのアクセスにはシームレスな認証を提供し、高リスクのアクセスには追加の認証要素を要求する「ステップアップ認証」を実行します。
従来の認証方式では、すべてのユーザーに対して一律の認証プロセスを適用していましたが、これではセキュリティと利便性の両立が困難でした。リスクベース認証は、「常に検証し、状況に応じて判断する」というゼロトラストセキュリティの原則を認証プロセスに適用することで、この課題を解決します。
金融機関のオンラインバンキング、クラウドサービスのアクセス制御、ECサイトの不正取引検知など、セキュリティと利便性の高度な両立が求められる場面で広く採用されています。近年では、機械学習とAIを活用した高度なリスクスコアリングにより、従来のルールベースでは検出困難だった巧妙な攻撃にも対応可能になっています。
Details
リスクシグナル(判定要素)
リスクベース認証では、以下の多様なシグナルを収集・分析して、アクセスのリスクレベルを判定します。
- IPジオロケーション:アクセス元のIPアドレスから地理的な位置を特定し、通常と異なる国や地域からのアクセスを検出。VPNやTorの使用も検知対象
- デバイスフィンガープリント:ブラウザの種類・バージョン、OS、画面解像度、インストールされたプラグイン、タイムゾーンなどを組み合わせてデバイスを識別。未知のデバイスからのアクセスはリスクスコアを上昇させる
- 行動分析(Behavioral Analytics):タイピングパターン、マウスの動き、ページ遷移のパターン、操作の速度などユーザー固有の行動特性を学習し、異常な行動パターンを検出
- あり得ない移動(Impossible Travel):物理的に移動不可能な時間内に異なる地理的場所からのアクセスが検出された場合(例:東京でログイン後、10分後にニューヨークからアクセス)に高リスクと判定
- 時間帯分析:通常のアクセス時間帯と大きく異なるタイミング(深夜3時のアクセスなど)のアクセスを検出
- 認証パターン:短時間での連続ログイン失敗、パスワードスプレー攻撃の兆候、異常な認証リクエスト頻度を検知
リスクスコアリングとステップアップ認証
収集したリスクシグナルは、リスクスコアリングエンジンで統合的に評価され、0〜100のスコアに変換されます。スコアに応じて認証フローが動的に決定されます。
- 低リスク(スコア0〜30):通常の認証のみ。場合によってはパスワードレス認証やSSO連携で透過的に認証
- 中リスク(スコア30〜70):追加の認証要素を要求(SMS OTP、認証アプリ、メール確認など)。ステップアップ認証を実行
- 高リスク(スコア70〜100):アクセスのブロック、セキュリティチームへのアラート、アカウントの一時ロックなど。管理者による確認が必要
UEBA(User and Entity Behavior Analytics)
UEBAは、ユーザーやエンティティ(デバイス、アプリケーション、サーバー)の行動を継続的に監視・分析し、通常のベースラインからの逸脱を検出する技術です。機械学習を活用してユーザーごとの正常な行動パターンを学習し、以下のような異常を検知します。
- 通常アクセスしないデータやシステムへの大量アクセス
- 権限昇格の試行やラテラルムーブメント
- 大量のデータダウンロードやファイル共有の異常パターン
- 退職予定者や不満を持つ従業員のリスク行動
機械学習による不正検知
最新のリスクベース認証では、教師あり学習(既知の不正パターンからの学習)と教師なし学習(異常検知)を組み合わせたハイブリッドアプローチが主流です。ディープラーニングやグラフニューラルネットワークを活用することで、従来のルールベースでは検出困難だった新たな攻撃パターンや、組織的な不正アクセスの検出精度が向上しています。
ただし、機械学習モデルは敵対的攻撃(Adversarial Attack)に対する脆弱性があり、攻撃者が意図的にリスクスコアを低下させるような行動パターンを模倣する「モデル回避攻撃」のリスクも存在します。定期的なモデルの再学習とバイアス評価が重要です。
Security Measures
- 01多層的なリスクシグナルの統合:単一のリスクシグナルに依存せず、IPジオロケーション、デバイスフィンガープリント、行動分析、時間帯分析など複数のシグナルを組み合わせてリスクスコアを算出してください。シグナルが多いほど誤検知率が低下し、攻撃検出の精度が向上します。
- 02ステップアップ認証の適切な設計:リスクレベルに応じた段階的な認証強化を実装してください。中リスクではSMS OTPや認証アプリによる追加認証、高リスクではFIDO2セキュリティキーや生体認証などのフィッシング耐性のある認証方式を要求し、最高リスクではアクセスをブロックしてセキュリティチームに通知する運用を整備しましょう。
- 03ベースラインの継続的な学習と更新:ユーザーの行動パターンは時間とともに変化するため、UEBAのベースラインモデルは定期的に再学習させてください。新しいデバイスの追加、勤務地の変更、リモートワークへの移行など、正当な変化に対応することで誤検知(False Positive)を削減できます。
- 04リアルタイムな脅威インテリジェンスの統合:ダークウェブで流出した資格情報リスト、既知のボットネットIPアドレス、フィッシングキャンペーンの情報など、外部の脅威インテリジェンスフィードをリスクスコアリングに統合してください。流出済みパスワードでのログイン試行を即座にブロックできます。
- 05AitM攻撃への耐性強化:Adversary-in-the-Middle(AitM)攻撃は、従来のMFAを中継によりバイパスします。トークンバインディング、フィッシング耐性のあるFIDO2認証、認証時のデバイス証明書の検証など、セッション固有の暗号的バインディングを実装して対策してください。
- 06プライバシーとコンプライアンスへの配慮:行動分析やデバイスフィンガープリントの収集は、個人情報保護法やGDPRなどの規制に準拠する必要があります。収集するデータの範囲、保持期間、匿名化処理を明確にし、ユーザーへの透明性を確保してください。
Incidents
📋 金融機関におけるリスクベース認証による不正送金防止
大手金融機関では、オンラインバンキングにリスクベース認証を導入することで、不正送金の検知率を大幅に向上させた事例が多数報告されています。通常と異なるデバイスからの高額送金、深夜帯の連続的な取引、海外IPからの初回アクセス時の送金指示など、複数のリスクシグナルを組み合わせた分析により、従来のルールベースでは見逃していた巧妙な不正アクセスを検出しています。ある国内メガバンクでは、リスクベース認証の導入後、不正送金被害が導入前と比較して約70%減少したと報告されています。
📋 Impossible Travel検知による漏洩資格情報の不正使用検出(Microsoft)
Microsoftは、Azure AD Identity Protectionにおいて「Impossible Travel」検知を重要なリスクシグナルとして実装しています。ある企業では、正規ユーザーが東京からMicrosoft 365にログインした直後、わずか数分後にロシアのIPアドレスから同一アカウントでのログインが検出されました。リスクベース認証により自動的にアクセスがブロックされ、調査の結果、フィッシング攻撃により窃取された資格情報が使用されていたことが判明しました。Impossible Travel検知は、漏洩した資格情報の不正使用を早期に発見する有効な手段であることが実証されています。
📋 AitM(Adversary-in-the-Middle)攻撃による従来型MFAのバイパス
2022年以降、Adversary-in-the-Middle(AitM)攻撃が急増しており、従来のSMS OTPやTOTPベースのMFAが中間者攻撃により突破される事例が多発しています。攻撃者はフィッシングサイトを正規サイトのリバースプロキシとして動作させ、ユーザーが入力した認証情報とMFAコードをリアルタイムで中継し、正規サイトのセッションクッキーを窃取します。この攻撃に対しては、デバイスの信頼性評価、セッショントークンのバインディング、FIDO2ベースのフィッシング耐性MFAなど、リスクベースの多層防御が不可欠です。MicrosoftやGoogleなどの主要プロバイダは、AitM対策としてリスクベース認証の強化を推奨しています。