セキュリティ

リスクベース認証とは

2019年3月16日

リスクベース認証とは

リスクベース認証とは、インターネットバンキングなどでよく使われる認証技術で、普段アクセスしている端末情報(IPアドレスなど)やアクセス時間、位置情報等のアクセス履歴などを元に不正アクセスの可能性があり(高リスク)」と判断された場合に、追加認証を行う技術です。

 

リスクベース

例えば、上記図のような流れとなり、悪意のあるユーザーからの不正アクセスを防ぐことができます。

  1. IDとパスワードを入手した悪意のあるユーザーが海外からアクセス
  2. 普段、東京からアクセスしているユーザーの為、リスクベース認証により高リスクと判定
  3. 正規ユーザーしかわからない追加認証を要求
  4. 悪意のあるユーザーは追加認証がわからないので、アクセスできない

スポンサーリンク

リスクベース認証の追加認証とは

リスクベース認証で高リスクと判断された場合、「ワンタイムパスワード」もしくは「秘密の質問」による追加認証を行う事が一般的です。

ワンタイムパスワード

リスクベース認証の追加認証

ワンタイムパスワードとは、正規ユーザーが事前に登録した電話番号 もしくは メールアドレスに一定期間のみ有効なワンタイムパスワードを送信する方法です。

仮にリスクベース認証で高リスクと判定された場合、正規ユーザーであれば電話番号 もしくは メールアドレスにワンタイムパスワードが送信されるが、正規ユーザー以外にはワンタイムパスワードが送信されません。そのため、不正ユーザーはアクセスすることが困難です。

秘密の質問

リスクベース認証と秘密の質問

秘密の質問とは、よくインターネットバンキング等の会員登録時に設定する「小学校の名前は?」「ペットの名前は?」「あなたの出身地は?」などの質問のことをいいます。

事前に登録した正規ユーザーしかわからない「秘密の質問」を追加認証することで、不正ユーザーはアクセスすることが困難です。

スポンサーリンク

なぜリスクベース認証が必要なのか?

リスクベース認証が採用されている理由は、ログインIDやログインパスワードなどの認証情報が悪意のある第三者に入手されてしまった場合、システムは「正規のユーザ」なのか「なりすましユーザ」なのかの区別をすることができませんそのため悪用を止めることができず、不正アクセスを許してしまいます。

 

この問題を解消する為にリスクベース認証が採用されており、高リスク(少しでも不正アクセスの可能性あり)と判断された場合に追加認証を要求することで、不正ユーザによる不正アクセスを防ぐことを目的としています。

リスクベース認証のメリット・デメリット

リスクベース認証は高リスクと判断されない限りユーザに対して追加認証の要求を行いません。そのため普段使っているユーザに追加認証の要求がされることはほとんどありません。ユーザに負担をかけずにセキュリティ性を高められるという点はリスクベース認証の大きなメリットだといえます。

 

逆にリスクベース認証のデメリットは、正規ユーザが「秘密の質問」の答えを忘れてしまったり、登録してある電話番号やメールアドレスが受信できないなどの問題が発生した場合、ログインできなくなる可能性があります。ログインできなくなった場合は、システムにより様々ですが、セキュリティの高いインターネットバンキングなどでは再度手続きが必要になるケースもあります。

 

またリスクベース認証は安全性の高い認証方法ですが、その分事業者の導入やユーザーの利用においてもコストや手間がかかる点もデメリットです。

終わりに

本記事ではインターネットバンキングなどでよく使われる認証技術である「リスクベース認証」について紹介しました。

リスクベース認証は、正規ユーザーのアクセス履歴から、不正アクセスの可能性を検知し追加認証を行う事で、悪意のあるユーザーからの「なりすましによる侵入行為」を防ぐことが目的です。

helpful