リスクベース認証は、ログイン時にユーザーの行動パターンを分析し、より確実に本人認証を行う方式です。例えば、いつもと異なるデバイスからのログインでは、パスワードに加えて合言葉の入力を求めるなど、認証の要件を一段厳しくしてリスクにあわせた認証方式をとり、なりすましや不正ログインを防ぎます。リスクベース認証はどのような仕組みを利用しているのか、メリット・デメリットとあわせて解説します。
また、企業の情報セキュリティをお考えの方へ、LRMでは、世の中の様々な情報漏えいを原因別に分類してそれぞれ対策を講じた資料を配布しております。
こちらから無料でダウンロードできますので、ぜひご活用ください。
リスクベース認証とは
リスクベース認証は、ログイン時にユーザーの行動パターンから普段と違うリスクを検知し、一段厳しい認証の要件を要求します。
例えば、いつもと違うデバイスやIPアドレスからのログイン、いつも利用する時間帯とは異なる時間帯のサイト利用など、いつもと違うユーザーの行動を検知します。検知されたユーザーの行動から、不正なアクセス・なりすましなどのリスクを検知し、リスクにあわせた追加の認証方式をとります。
なりすましを防ぐことができる認証としては、他に二段階認証・多要素認証などの認証方式があります。しかし、常に厳しい認証方式を使うのでは、ログインの手間が増えユーザーには負担です。リスクベース認証を利用すると、ユーザーの利便性と、リスクに合わせた認証方式とのバランスをとることができるのです。
リスクベース認証はどのように動作するか
リスクベース認証が具体的にどのように動作するかを、ECサイトとモバイルバンキングの例で見てみましょう。
例えば、いつも国内からの利用をショッピングサイトで行うユーザーが、海外のIPアドレス経由でECサイトにアクセスしたとします。
この時、SMS認証を使い、携帯電話にSMSでコードを送り認証を行うと、ユーザーのID情報やクレジットカード情報を入手した悪意ある者のアクセスをブロックできます。しかし、たまたま海外へ出張で出かけたユーザーが携帯電話でSMS認証を行えば、問題なくアクセスできるのです。
ユーザーが普段はアクセスしない時間帯にモバイルバンキングのサイトにアクセスしたところ、ID・パスワードのほか、秘密の合言葉を使って認証することを要求された、というケースもリスクベース認証の例です。この時、不正に口座を利用しようとした悪意ある者が口座を利用しようとしても、秘密の合言葉を知らなければ、アクセスすることはできません。
リスクベース認証のメリット
リスクベース認証は、不正なアクセスやなりすましを効果的に防ぐことができる点が最大のメリットです。特にリスクベース認証のなかでも、アクティブ認証を使うと本人であることを確認できるため、なりすましまで防ぐことができます。
ユーザーの利便性が大きく損なわれることがないことも、リスクベース認証のメリットと考えられます。例えば、先ほどご紹介したユーザーがたまたま海外に出張に行っていた例では、正当なユーザーのアクセスをブロックはしません。秘密の合言葉を要求されるユーザーも、合言葉を覚えていれば本人確認ができるので、利用するサイトにアクセスできます。
リスクベース認証のデメリット
リスクベース認証のデメリットは、サイト運営側のコスト面での負担があげられます。認証の仕組みを導入し、運用するコストがかかります。運用のコストには、リスクベース認証導入のコストや、例えば合言葉を忘れた場合のリカバーを行うためのサポートなどのコストが考えられます。
ただし、現在二段階認証が必要なサイトも少なくない中、リスクベース認証のコストは、二段階認証のコストと大きく変わるものではないので、このデメリットもサイトで管理する情報の重要性や、不正利用のリスクとのバランスからすると大きいものではないと考えることもできます。
リスクベース認証の種類
リスクベース認証には、アクティブ認証と、パッシブ認証の2種類があります。
アクティブ認証
アクティブ認証は、ユーザの操作を必要とする認証方式です。ワンタイムパスワードや、トークンによるパスワード発行、あるいは秘密の質問を入力させる方式はすべてアクティブ認証です。
アクティブ認証ではユーザ操作を必要とするので、必ず本人が操作をする必要がある認証方式を使うと、本人確認まで可能です。ユーザを確実に認証できる点がこの方式の最大のメリットです。
パッシブ認証
パッシブ認証は、ユーザの操作を必要としない認証方式のことです。アクセスしてきたコンピュータの種類やIPアドレス、ログインを要求するサイトにおける行動パターンなどの情報を使い、ユーザーを認証します。
パッシブ認証は、社内ネットワークなどユーザーが限定された環境で使う場合は、ユーザに特別な操作を必要としないため、利便性が高くメリットが大きい認証方式です。しかし、ユーザー情報を不正に利用する悪意ある者になりすまされてしまう危険があります。安全性の点では、アクティブ認証の方が優れています。
アクティブ認証はパッシブ認証と比べてより安全性が高い認証方式であり、100%リスクがない、とまではいえないものの、効果的になりすましを防ぐことができます。
モバイルバンキングやモバイルショッピングのような、重要情報を預かるサイト・金銭が移動する取引を伴うサイトでは、アクティブ認証によるなりすまし予防効果を活用するのが一般的です。
これに対して、社内ネットワークからのシステムへのアクセスなどでは、パッシブ認証によるシングルサインオン方式を活用することが適切な場合が多いでしょう。
リスクベース認証以外の認証手法について
リスクベース認証は、本人確認が可能であり、なりすましを防止できる点がパスワード認証を上回るメリットでした。
最後に、リスクベース認証以外の手法で、なりすましを防止できる効果がある認証方法をまとめてみましたので、比較検討にお役立てください。
生体認証
指紋・虹彩など、本人でしか持ちえない生体情報を使った認証方式です。専用のデバイスを使わなければならない点・いつでもどこでも可能な認証方法とは言えない点・コストといった課題がありました。現在では、スマートフォンの指紋認証をPC認証用のデバイスに用いるなど、利便性も向上しています。
二段階認証
二段階(またはそれ以上)の認証を要求する方式です。通常パスワードのほか、パッシブ認証・SMS認証など、複数の認証方式を用いてなりすましを防ぎます。利便性の点でリスクベース認証に劣る面がありますが、パッシブ認証を使う場合は、セキュリティ上堅牢です。
多要素認証
パスワード+生体認証、パスワード+SNS認証など、複数の要素を組み合わせて行う認証方式です。生体認証・二段階認証と共通する課題がありますが、パスワードのみの認証よりもセキュリティ上堅牢であり、なりすましも効果的に防ぐことができます。
まとめ
リスクベース認証は、ユーザーの行動に基づき、いつもと違うユーザーの動きがあった場合に、追加の認証を要求し、リスクに応じた認証を行うことができます。
リスクベース認証の中でも、パスワード等と組み合わせてアクティブ認証を用いると、ユーザー本人しか知らない情報を利用できるため、効果的になりすましを予防することができます。
情報漏えいの原因別対策をまとめた資料はこちら。
