リスクベース認証とは？
安全性が高く便利な認証方法を仕組みから解説

リスクベース認証では、ユーザーの行動パターンや位置情報などを元に、何らかのリスクがあると判断された場合にのみ追加認証を要求します。

例えば、いつも会社のパソコンからシステムにログインする人が、ある日自宅のタブレットによるログインを試みた場合などが該当します。それ以外にも様々なリスク要素を分析し、リスク有りと判定された際にはセキュリティを強化するのがリスクベース認証です。

画期的な技術ではありませんが、安全性と利便性を両立させる認証方法として、近年さらに注目されているセキュリティ対策のひとつです。

リスクベース認証の仕組み

リスクベース認証ではユーザーがログインする際に、使用デバイスやログイン時刻などの行動パターン、IPアドレスや使用ブラウザなどの情報を取得します。

取得した情報を検証した結果、普段通りの環境からのログインであればそのまま認証完了となります。

しかし通常と異なるアクセスと判断されると、第三者による不正アクセスのリスクを考慮し、追加の認証を要求されます。追加認証の例としては、「秘密の質問」や「ワンタイムパスワード」などが挙げられます。

普段の認証と異なる認証要素を追加することでさらにセキュリティを強化することも可能です。

リスクベース認証が注目された背景には、近年のクラウドサービス普及とともに高まった、不正ログインに対する危機意識が影響を与えていると言えるでしょう。

リスクと判定される要素の例

リスクベース認証において、リスクと判定される要素には以下のようなものが挙げられます。

• 使用するデバイス
• ログイン時の位置情報
• ログイン時刻
• IPアドレス
• 不可能と判断される移動

例えば、ユーザーが未登録のデバイスを用いてログインしようとすると、そのデバイスを登録するよう促されます。また、通常使用しているオフィス以外の場所からログインを試みた場合には、セキュリティに関する質問に回答するよう求められることがあります。

ログイン認証には、大きく分けて「アクティブ認証」「パッシブ認証」の2種類の認証タイプがあります。リスクベース認証はパッシブ認証の一種に分類されます。

ここでは2種類の認証方式について、特徴を簡単にご紹介します。

アクティブ認証

ログインの際に、ユーザー側で能動的に操作するのがアクティブ認証です。ログインする本人が何らかの操作をする必要があるため、認証にひと手間かかってしまいますが、安全性は確実に向上します。

アクティブ認証の例としては、ワンタイムパスワードやUSBトークンなどの方法が挙げられます。自ら設定した「秘密の質問」に回答する方法も、アクティブ認証の例と考えて良いでしょう。

アクティブ認証は確かに安全性が高いのですが、ユーザー側からすると面倒な操作が必要である点はデメリットです。必要とされるセキュリティレベルに応じて、後述するパッシブ認証と使い分けることで利便性と安全性の両立を図れます。

パッシブ認証

認証の際にユーザー側のアクションを必要としないのがパッシブ認証です。リスクベース認証を代表とするパッシブ認証では、サービス提供者がユーザーデータを分析し認証するため、ユーザー側の操作を必要としません。

パッシブ認証はユーザーの手を煩わせない高い利便性が特徴ですが、より強固なセキュリティを望む場合はアクティブ認証の方が有利です。

利便性と安全性のどちらを優先すべきかは、利用するサービスの種類によって異なります。重要なデータや多額の金銭が関わる認証にはアクティブ認証を用い、システムのログインのみであればパッシブ認証を用いるなど、適宜使い分けることが重要です。

リスクベース認証を導入することで、セキュリティが向上し使い勝手が良くなるというメリットがあります。ここではリスクベース認証のメリットを、安全面と利便性の面から具体的に解説いたします。

なりすましなど不正アクセスを防げる

パスワードベースの認証では、IDとパスワードが漏洩してしまった場合は、第三者に簡単に不正アクセスを許してしまいます。

リスクベース認証では、通常パターンと違う動きを検知すると追加の認証を要求します。そのため、なりすましや不正アクセスに対しての防御力が高いというメリットがあります。正規のユーザーと全く同じ環境でアクセスすることは、悪意のある第三者には不可能に近いでしょう。

ユーザーへの負担が少ない

リスク要素を検知した時にだけ追加認証を求められるので、毎回同じ環境で利用している人ならスムーズにログインすることができます。行動パターンやリスク要素の分析はサービス提供側がするので、ユーザー側の負担は最小限に抑えられます。

もしいつもと異なる環境で利用する場合でも、アクセス自体ができなくなるわけではありません。旅行先でのアクセスや未登録のデバイスによるアクセスなど、通常とは違う利用環境でも、追加認証をパスすれば通常通りにログインできます。

簡単にログインできて、セキュリティも完璧という認証方法は確立されていません。リスクベース認証も万能ではありません。ここではリスクベース認証のデメリットについても解説いたします。

「秘密の質問」などを忘れてしまうとログインできない

「秘密の質問」は本人しか答えを知らない質問で、なりすましや不正ログインを防ぐ効果が期待できますが、忘れてしまうとログインできなくなるデメリットがあります。

例えば「初めて飼ったペットの名前は？」などの質問がありますが、意外に忘れていることもあるので注意が必要です。質問の答えを忘れてしまった場合はログインできないので、どうすれば良いのかを管理者に問い合わせる手間がかかってしまいます。

実装や運用にコストがかかる

リスクベース認証では、ユーザー本人の行動パターンや使用環境のデータを、膨大に記録・分析する必要があります。さらに行動を分析するための変数は頻繁に調整する必要があり、実装や運用には相応の費用がかかってしまいます。

しかし不正アクセスや情報の漏洩による損害は、運用コストを上回る可能性が高いため、長期的に考えれば費用対効果は高いと言えるでしょう。

まとめ

リスクベース認証は、通常とは異なるアクセスを検知した場合に、追加認証を課す仕組みの認証方法です。ユーザーの負担を軽減しつつセキュリティ向上を図れるため、パスワードベースの認証よりも優れた特徴を多く持ちます。

ただし、いかに便利で安全性の高い方法と言えど、すべてのリスクを排除できるわけではありません。ログインに必要なデバイスを適切に管理することや、パスワードや秘密の質問の答えを書いたメモを残さないなど、基本的なセキュリティ意識を保つことが大切です。