問題
テクノロジ系
問71 インターネットバンキングなどの Web サイトで利用されているリスクベース認証の例として,適切なものはどれか。
選択肢
- ア利用者がいつもログインに使っている PC とは異なる PC からのログインであったので,本人しか知らない秘密の質問による追加の認証を行った。
- イ利用者がログインした後,画面操作が一定時間なかったので,自動的にログアウトして,再度ログインを求めた。
- ウ利用者がログインするときにパスワードを連続して複数回間違って入力したので,アカウントをロックした。
- エ利用者がログインに使っているパスワードが長期間変更されていなかったので,パスワードの変更を促した。
解説
正解:ア
概要
この問題は,インターネットバンキング等で使われるリスクベース認証の具体例を問うものです。通常とは異なるリスクの高い状況を検知して追加認証を行うという概念を正しく理解することがポイントです。
正解の理由
リスクベース認証とは,利用者のアクセスパターンを分析し,普段と異なるリスクの高い状況(普段とは異なるPC・場所・時間など)を検知した場合に,追加の認証を要求するしくみです。普段使っていないPCからのログインを検知して追加認証を求めるアが正解です。
各選択肢の解説
ア(〇): いつもと異なるPCからのログインを検知し,追加認証(秘密の質問)を要求する。これがリスクベース認証の典型例です。
イ(×): 一定時間操作がない場合の自動ログアウトは,セッションタイムアウトの説明です。
ウ(×): パスワードを連続して誤入力した場合のアカウントロックは,ブルートフォース攻撃対策の説明です。
エ(×): パスワードの定期変更を促す機能は,パスワードポリシーの説明です。
ポイント
リスクベース認証は,通常のID・パスワード認証に加えて,アクセス状況のリスクを評価し,リスクが高いと判断した場合のみ追加認証を要求することで,利便性とセキュリティのバランスをとる手法です。