ページの本文へ

セキュリティ

リスクベース認証とは? 仕組みやメリット・デメリットなどを解説

リスクベース認証は、なりすましや不正アクセス対策として有効な技術です。リスクベース認証の考え方自体は昔から存在しますが、不正アクセスによる被害が増える昨今、有効な対策として注目されています。最近ではよく耳にする機会も増えたと思いますが、具体的な内容についてはよく分からない、という方は多いのではないでしょうか。

そこでこの記事では、リスクベース認証の基礎知識からメリット・デメリットについて解説します。

  1. リスクベース認証とは
  2. リスクベース認証の種類と仕組み
  3. リスクベース認証のメリット
  4. リスクベース認証のデメリット

リスクベース認証とは

リスクベース認証とは、ユーザーのアクセス状況からリスクを判定し、リスクありと判定した場合に追加の認証を行う認証技術です。近年、ID/パスワードを狙うサイバー攻撃が多くなり、不正アクセスやなりすましの被害が増えています。そんななかで、知識、所持、生体の3つの認証要素を組み合わせた「多要素認証」が注目されるようになりました。

多要素認証はID/パスワードのみの認証に比べて強固なセキュリティを実現できますが、複数の認証が必要になるため手間がかかります。対して、リスクベース認証はリスクありと判定された場合にのみ追加の認証が行われるため、利便性とセキュリティを両立した認証方式として注目されています。

リスクベース認証の種類と仕組み

リスクベース認証は、システムのアクセスログやアクセスしたユーザーのブラウザー情報、OS情報、IPアドレス、デバイス情報、地理情報、時間帯などを使ってリスクを判定しています。例えば、普段は東京からアクセスするユーザーがアメリカからアクセスしている場合にリスクありと判定する、というような仕組みです。その場合には、追加で秘密の質問などに答えてもらう、登録しているメールから認証のURLをクリックしてもらうなどで本人確認を行います。

一般的にリスクベース認証単体で利用されることは少なく、アクティブ認証と併せて実施される場合が多いでしょう。認証にはアクティブ・パッシブ認証が存在し、それぞれ次のように分けられています。

アクティブ認証

アクティブ認証は、ユーザーの操作を必要とする方式です。ID/パスワード、ワンタイムパスワード、秘密の質問の入力や、USBトークンの利用などが該当します。ユーザー操作を必要とするため利便性は低下しますが、より安全性の高い認証が可能です。

パッシブ認証

パッシブ認証はユーザーの操作を必要としない方式です。IPアドレス、デバイス情報などによって認証を行います。リスクベース認証もパッシブ認証の一種であり、リスクベース認証の場合はアクティブ認証の裏で行い、リスクありと判断した場合に追加のアクティブ認証を行う、というような使い方がほとんどです。

その理由として、パッシブ認証のみでは確実なユーザー認証が難しいことが挙げられます。

リスクベース認証のメリット

リスクベース認証の主なメリットは次の2点です。

セキュリティを強化できる

ID/パスワードといった認証に直接関係する情報だけでなく、IPアドレスや地理情報などの情報を組み合わせることで、より強固な認証を実現できます。ID/パスワードは知られてしまうだけで悪用されてしまいますが、「いつもと違うアクセス状況」で判定されると攻撃者は悪用できなくなってしまいます。

ユーザーへの負担が少ない

ID/パスワード以外の情報を組み合わせるという点では、多要素認証も認証の強化方法としてよく利用されます。ただし、多要素認証の場合は認証の手間が増える点がデメリットです。リスクベース認証は普段と同じアクセス状況であれば認証の手間は増えず、アクセス状況が異なる場合のみ追加の認証を行うため、ユーザーへの負担が少ない点がメリットです。

リスクベース認証のデメリット

リスクベース認証を利用する際には、次のデメリットについても理解しておくことが重要です。

  • 導入コストがかかる
  • リスクベース認証では対応できないケースがある
  • 追加の認証情報を失うとログインできなくなる

リスクベース認証を実現するためには、ユーザーのアクセス状況や行動履歴を把握しなければならないため、通常の認証よりも多くの情報を収集して保存・管理する必要があります。そのため、単純な認証と比べて専用のソリューションやリスクベース認証に対応した認証ソリューションへの変更といった導入コストがかかります。

また、強固なセキュリティを実現できるとはいえ、リスクベース認証で用いるデバイスが盗難されたり、同じデバイス・ブラウザーからアクセスされたりした場合に対応できません。このことがリスクベース認証を単体で利用できない理由として挙げられます。

加えて、追加の認証で秘密の質問などを設定した場合、回答を忘れてしまうとログインできません。同様に登録済みのメールアドレスに送られたメールが見られない状況でも追加の認証情報を失うことになるため、ログインできなくなってしまいます。

ユーザーの行動履歴やアクセス状況からリスクを判定して認証を行うリスクベース認証は、不正アクセスやなりすましの対策として有効です。クラウドサービスの業務利用が増える昨今、より強固な認証を実現するためにリスクベース認証が使われるケースが増えています。
リスクベース認証はセキュリティとユーザーの利便性の両立が実現できますが、利用する際にはいくつか注意すべき点もあるためしっかりと理解しておきましょう。

リスクベース認証はセキュリティの技術的な対策ですが、企業の情報セキュリティにおいては人的な対策も欠かせません。利用するユーザー一人ひとりのセキュリティリテラシーを向上させることも、全体的なセキュリティ対策として重要です。日立ソリューションズ・クリエイトでは、個人・組織の両面からインシデント対応能力向上を支援する「サイバーセキュリティトレーニング」を提供しています。
当社ホワイトハットハッカーによる実践的なカリキュラムにより、レベルに合わせた個人の知識・組織力の強化を実現します。

サイバーセキュリティトレーニング

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら