対象試験と出題頻度
リスクベース認証は、情報セキュリティマネジメント・ITパスポート・基本情報技術者・応用情報技術者の全試験で出題される可能性があるセキュリティ用語です。
頻出度は「B(覚えておくと有利)」。認証方式の一つとして、多要素認証やシングルサインオンと並んで問われることがあります。
詳細をクリックして確認
情報セキュリティマネジメント
ITパスポート
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(覚えておくと有利)
用語の定義
リスクベース認証(Risk-Based Authentication)とは、一言で言うと「ユーザーのアクセス状況を分析し、普段と違う怪しいアクセスを検知した場合にのみ、追加の本人確認を要求する認証方式」のことです。
イメージとしては、「顔なじみの常連客ならすぐに通すが、見慣れない人や不審な行動をする人には身分証明書の提示を求めるクラブの用心棒」のようなものです。
いつも同じ時間に同じ場所から同じスマホでログインしている人には、IDとパスワードだけで通す。しかし、深夜に海外から知らないパソコンでアクセスしてきたら「本当にあなたですか?」と追加の確認を行う。
📊 リスクベース認証と多要素認証の違い
| 比較項目 | 多要素認証(MFA) | リスクベース認証 |
|---|---|---|
| 追加認証のタイミング | 毎回必ず追加認証を実施 | リスクありと判断した場合のみ実施 |
| ユーザーの手間 | 毎回認証操作が必要 | 通常時は追加操作なし |
| 判断基準 | 認証要素の組み合わせ(固定) | アクセス状況の分析(動的) |
| 利便性 | やや低い(操作が増える) | 高い(普段は操作不要) |
解説
情報処理試験を勉強していると、「多要素認証とリスクベース認証って何が違うの?」と混乱しがちです。
結論から言えば、多要素認証は「毎回複数の認証を行う方式」、リスクベース認証は「怪しいときだけ追加認証を行う方式」という違いがあります。
リスクベース認証では、システムがユーザーのアクセスログを常に分析しています。具体的には、IPアドレス、位置情報、アクセス時間帯、使用デバイス、ブラウザの種類といった情報を収集し、「いつもの行動パターン」と照合します。普段と大きく異なるアクセスを検知すると、「第三者によるなりすましかもしれない」と判断し、追加の本人確認を要求するわけです。
💡 なぜリスクベース認証が注目されているのか?
セキュリティと利便性は、多くの場合トレードオフの関係にあります。認証を厳しくすればセキュリティは上がりますが、ユーザーは毎回面倒な操作を強いられます。
リスクベース認証は、この問題に対する一つの答えです。普段のアクセスでは余計な手間をかけず、本当に怪しいときだけ厳重にチェックする。
「必要なときに必要なだけの認証」という考え方がリスクベース認証の核心です。ネットバンキング、ECサイト、クラウドサービスなど、多くのWebサービスで採用が進んでいます。
リスク判定に使われる主な要素
リスクベース認証でシステムがチェックしている項目は、主に以下のとおりです。
- IPアドレス・位置情報:普段は東京からアクセスしているのに、突然海外からアクセスがあった場合はリスクありと判定されます。特に、短時間で物理的に移動不可能な距離からのアクセス(例:1時間前に東京、今は海外)は高リスクです。
- アクセス時間帯・曜日:業務システムなら平日の日中にアクセスが集中するのが普通です。深夜や休日のアクセスは、不正アクセスの可能性を疑います。
- 使用デバイス・ブラウザ:普段使っているスマホやパソコンの情報はCookieなどで記録されています。見慣れないデバイスからのアクセスはリスク要因になります。
- 過去のアクセス履歴:過去に認証成功したデバイスかどうか、過去にログイン失敗を繰り返していないかなども判断材料になります。
リスクベース認証の2つの方式
リスクベース認証には「アクティブ認証」と「パッシブ認証」の2種類があります。試験ではここまででOKですが、理解を深めるために両方の特徴を押さえておきましょう。
アクティブ認証は、追加認証時にユーザーの操作を求める方式です。具体的には、ワンタイムパスワードの入力、秘密の質問への回答、SMS認証などがあります。ユーザーに手間をかけますが、その分セキュリティは高くなります。
パッシブ認証は、ユーザーの操作なしにシステムがバックグラウンドで追加チェックを行う方式です。IPアドレスの照合やデバイス情報の確認などが該当します。ユーザーは追加認証の存在に気づかないこともあります。
実際のサービスでは、この2つを組み合わせて使うのが一般的です。まずパッシブ認証で大まかなリスク判定を行い、リスクが高ければアクティブ認証を追加するという流れです。
⚠️ 身近な活用例:ネットバンキングとクレジットカード決済
リスクベース認証は、すでに多くのサービスで使われています。ネットバンキングで「いつもと違う端末からのアクセスを検知しました」と表示された経験はないでしょうか。あれがリスクベース認証です。
また、クレジットカードのオンライン決済で使われる「3Dセキュア2.0」もリスクベース認証を採用しています。普段の買い物では追加認証なしで決済が完了しますが、高額商品の購入や海外サイトでの利用時には、ワンタイムパスワードなどの追加認証を求められます。
試験ではこう出る!
リスクベース認証は、情報セキュリティマネジメント・ITパスポート・基本情報技術者・応用情報技術者の各試験で出題されます。認証方式に関する選択肢の一つとして登場することが多いので、以下のキーワードとセットで覚えましょう。
【重要キーワード】
- ユーザーの行動パターン・アクセス状況の分析
- リスクが高い場合にのみ追加認証を実施
- IPアドレス / 位置情報 / デバイス / アクセス時間帯
- アクティブ認証 / パッシブ認証
- 利便性とセキュリティの両立
試験問題で「ユーザーのアクセス状況を分析し、普段と異なる場合に追加の認証を要求する」や「なりすましのリスクがあると判断した場合にのみ追加認証を行う」といった記述があれば、それは「リスクベース認証」に関する記述です。
📊 認証方式の比較(試験対策)
| 認証方式 | 特徴 |
|---|---|
| リスクベース認証 | アクセス状況を分析し、リスクが高い場合のみ追加認証 |
| 多要素認証(MFA) | 知識・所持・生体の3要素から2つ以上を組み合わせる |
| シングルサインオン(SSO) | 1回の認証で複数のシステムにアクセス可能にする |
| CAPTCHA認証 | 画像認識などで人間とボットを区別する |
📝 IPA試験での出題ポイント
リスクベース認証の出題では、「多要素認証との違い」を問う問題が出やすいです。多要素認証は「毎回」追加認証を行いますが、リスクベース認証は「リスクが高いときだけ」追加認証を行う点が決定的な違いです。
また、リスク判定に使われる要素(IPアドレス、位置情報、アクセス時間帯、デバイス情報など)もセットで押さえておくと、選択肢の正誤判断がしやすくなります。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. リスクベース認証に関する説明として、最も適切なものはどれでしょうか?
- A. ユーザーのアクセス状況を分析し、普段と異なるリスクの高いアクセスを検知した場合にのみ追加認証を要求する方式
- B. 知識・所持・生体の3つの認証要素から2つ以上を組み合わせて、毎回のログイン時に認証を行う方式
- C. 1回の認証で複数のシステムやサービスにアクセスできるようにし、ユーザーの利便性を向上させる方式
正解と解説を見る
正解:A
解説:
リスクベース認証は、ユーザーのIPアドレス、位置情報、アクセス時間帯、使用デバイスなどを分析し、普段と異なる「リスクが高い」アクセスを検知した場合にのみ追加の認証を要求する方式です。普段どおりのアクセスであれば追加認証は行われないため、利便性とセキュリティを両立できる点が特徴です。
選択肢Bは「多要素認証(MFA)」の説明です。多要素認証は毎回のログイン時に複数の認証要素を組み合わせますが、リスクベース認証はリスクが高いときだけ追加認証を行う点が異なります。選択肢Cは「シングルサインオン(SSO)」の説明であり、いずれもリスクベース認証とは異なる認証方式です。
