リスクベース認証
りすくべーすにんしょう
経営情報システム
ひとことで言うと
ログイン時のリスク要因を動的に分析して認証強度を変化させる認証方式。
解説
ユーザのログイン時に、アクセス元のIPアドレス、デバイス情報、行動パターンなどのリスク要因を分析し、認証の強度を動的に変化させる認証方式。通常と異なるアクセスパターンが検出された場合に、追加の認証(ワンタイムパスワードや秘密の質問など)を求める。利便性とセキュリティのバランスを両立する手法である。
くわしく解説
リスクベース認証とは、ユーザがシステムにログインする際に、アクセス元のIPアドレス・地理的位置情報・使用デバイス・アクセス時刻・行動パターンなどの複数のリスク要因をリアルタイムに分析し、リスクレベルに応じて認証の強度を動的に変化させる認証方式である。通常と同じ環境からのアクセスであれば通常のID/パスワード認証のみで通過できるが、普段と異なる国からのアクセスや新しいデバイスからのアクセスを検知した場合には、ワンタイムパスワード(OTP)や秘密の質問などの追加認証を求める。セキュリティと利便性のバランスを高い水準で両立できる点が特徴であり、インターネットバンキングやクラウドサービスで広く採用されている。固定的な多要素認証と異なり、状況に応じて柔軟に認証強度を調整できる。
具体例で考えよう
普段は東京からアクセスしているユーザが、深夜に海外のIPアドレスから突然ログイン試行した場合、リスクベース認証がこの異常を検知し、通常のパスワード認証に加えてSMSへのワンタイムパスワード入力を要求する。
試験対策ポイント
リスクベース認証の特徴(動的に認証強度を変化させる点)と、静的な多要素認証との違いを整理すること。分析するリスク要因(IP・デバイス・行動履歴)の具体例も問われる。
関連用語
「経営情報システム」の他の用語