Written by 夏野ゆきか
目 次
リスクベース認証(RBA)とは、システムやサービスへのログイン時に「ユーザー行動」を分析し、リスクレベルに応じて追加の認証を行う等、認証強度を調整するセキュリティ手法です。
▼リスクベース認証の仕組み
リスクベース認証では認証プロセスにおいて、以下のような要素を元にリスク評価を実施します。
- ・ アクセス元のIPアドレス
- ・ 使用デバイス
- ・ 位置情報
- ・ アクセス時間帯
また、リスクベース認証にて追加の認証が行われるのは、リスクがあると判断された場合のみです。リスクが低いアクセスでは追加認証を避けられるため、ログインの度に必ず複数の認証手続きが必要な多要素認証などに比べ、ユーザーの負担は軽減しやすくなります。
この記事では、リスクベース認証の仕組みやメリット・デメリットなどを解説します。
▼この記事を要約すると
- リスクベース認証とは、ユーザーの行動を分析し、リスクレベルが高いと判断した場合に追加認証を行うセキュリティ方式
- リスクベース認証には「アクティブ認証」と「パッシブ認証」の2種類がある
- 主な導入メリットは「ログイン時のセキュリティ強化」と「ユーザーの負担軽減」の2点である
- 利用時の注意点として「誤検知や正当なアクセスの拒否」「導入や運用のコスト・人的リソースの必要性」などがあり、対策を講じる必要がある
リスクベース認証とは
リスクベース認証は、システムやサービスへのログイン・認証時に、ユーザー行動からリスクレベルを分析・評価し、リスクがあると判断された場合にのみ「追加の認証」を行うセキュリティ手法です。
例えば、普段は東京のオフィスから平日の日中にアクセスする従業員が、深夜に海外からの接続を試みたとします。システムはこれを潜在的なリスクとして認識し、SMS認証や生体認証などの追加手続きを要求することで、不正アクセスを未然に防止します。
リスク可否の判断には、以下のような要素が使用されます。
| 要素 | 「リスクが高い」と判定される事例 |
|---|---|
| デバイス情報 | ・社内ネットワークへ、過去にアクセス履歴がないPCやスマートフォンからアクセスがある |
| アクセスする時間帯 | ・通常、日中や平日にアクセスが多い社内システムに対し、早朝や深夜、週末・祝日などにアクセスする |
| IPアドレス | ・通常、自宅や会社のIPアドレスを使用しているが、急にVPNや匿名プロキシ経由でアクセスする |
| 位置情報 | ・アクセス元の地域が普段の行動範囲と大きく異なる。特に海外からのアクセスなど |
フィッシング攻撃やリプレイ攻撃といったサイバー攻撃の高度化により、攻撃者がユーザーの認証要素を不正利用し、不正アクセスやなりすましを仕掛ける被害事例が増加しています。
従来の静的パスワードによる対策では十分なセキュリティを確保できない背景から、ユーザーエクスペリエンスを損なうことなく高度なセキュリティを実現する「リスクベース認証」への注目が高まっています。
リスクベース認証が行われる仕組み・流れ
リスクベース認証が行われる基本的な流れは、以下の通りです。
- 1. ユーザーがIDとパスワードを入力し、ログインする
- 2. システム側は送信された認証情報とともに、アクセス元のIPアドレスやデバイス情報、位置情報、時間帯などを含むユーザー行動を分析
- 3. 分析の結果、リスク無しと判断された場合、ユーザーはそのままログイン可能
- 4. 分析の結果、リスク有りと判断された場合、追加認証が実行され、認証が成功すればログインできる
▼リスクベース認証の仕組み
セキュリティリスクのレベル別に認証段階を設けることで、「セキュリティ強化」と「ユーザーエクスペリエンス(UX)」向上の両立を図ることが可能です。
- 1. 被害者のID・パスワードが悪用された場合も、不正ログインのリスクを大幅に低減する
- 2. 通常の安全なアクセス時は追加認証が不要であり、ユーザー負担が軽減される
リスクベース認証の種類
リスクベース認証には、「アクティブ認証」と「パッシブ認証」の2種類があります。両者の違いは「追加認証における、ユーザー操作の要不要」にあります。
アクティブ認証
アクティブ認証は、追加認証においてユーザー操作を必要とする方式です。
例えば、スマートフォンに送信されたワンタイムパスワードの入力や、事前に設定された秘密の質問への回答などが、アクティブ認証に該当します。
この方式の最大の強みは、確実な本人確認が可能という点です。ユーザーが実際に操作する必要があるため、仮に第三者がID・パスワードを入手したとしても、不正アクセスを高い精度で防止します。
オンラインバンキングでの送金や、重要な個人情報の変更といった、高度なセキュリティが要求される場面で重宝されます。
パッシブ認証
パッシブ認証は、追加認証においてユーザーの操作を必要としない認証方式です。
この方式では、アクセスしたデバイスの種類やIPアドレス、過去の行動履歴などの情報をもとにユーザーの本人確認を行います。ユーザー操作が不要なパッシブ認証は、利便性が高くなる一方、アクティブ認証に比べ、ややセキュリティ強度が低くなる懸念があります。
そのため、社内システムやイントラネットといった、アクセス環境が比較的限定された環境下での使用、アクティブ認証との併用が推奨されます。
リスクベース認証を導入するメリット
リスクベース認証を導入するメリットとして、以下の2点が挙げられます。
- 1. ログイン時のセキュリティを高められる
- 2. ログイン時のユーザーの負担を軽減できる
1.ログイン時のセキュリティを高められる
リスクベース認証の最大のメリットは、セキュリティレベルの大幅な向上です。
認証プロセスにおいて複数の要素を総合的に評価するため、従来のID・パスワードを用いた認証方法に比べ、より精密な本人確認が行えるようになりました。
仮に、ログイン情報の漏洩や第三者による悪用が行われた場合も、不正アクセスのリスクを効果的に防止できます。
2.ログイン時のユーザーの負担を軽減できる
もう一つのメリットは、ユーザーの負担を軽減できる点です。これは特に「多要素認証」と比較した場合、顕著な利点といえるでしょう。
多要素認証とは、①知識情報(パスワードなど)、②所持情報(スマートフォンなど)、③生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法です。
▼多要素認証のイメージ
ログイン時に必ず追加の認証手続き(生体認証、SMSによる認証コードの入力など)が必要となるため、セキュリティを確実に強化できる反面、ユーザーエクスペリエンスにマイナスな影響をもたらす可能性もあります。
一方のリスクベース認証では、追加認証の要求は「不審な動作が検知された場合のみ」であり、ユーザーの作業効率を下げるリスクが低い、といったメリットがあります。
リスクベース認証を利用する際の注意点
リスクベース認証は優れた認証方式ですが、導入や運用に際して考慮すべき課題もあります。
- ・ 誤検知や正当なアクセスの拒否
- ・ システムの導入や運用にコスト・専門知識が必要
- ・ リスク評価の精度の限界
普段と異なるユーザー行動をリスクとして評価するため、「出張先や新しいデバイスからのログイン」がリスクと判断される場合があり、事前に自己申告など連携の仕組みを整備する必要があります。
またシステムの導入費用、複雑さといった課題もあるため、ベンダーの活用や段階的な導入により、負担軽減を図ることが可能です。
さらに、リスクベース認証で不正アクセスのリスクを100%防止することは困難です。企業・組織は、その他のセキュリティ対策や認証方法と組み合わせることで、セキュリティ強度を高める対策が必要です。
認証関係の不正アクセス対策なら「LANSCOPE プロフェッショナルサービス」におまかせください
Webアプリケーションやクラウドサービスなど、「認証周りの不正アクセス」被害に対策するなら、「LANSCOPE プロフェッショナルサービス」におまかせください。
セキュリティの専門家が、貴社の認証・アクセス周りのセキュリティリスクを診断し、リスクレベルに基づく脆弱性の優先順位づけや、最適な対策方法について提案します。
1. 自社システムやサイトの「認証周り」の課題に対策する「脆弱性診断・セキュリティ診断」
MOTEXの「脆弱性診断・セキュリティ診断」では、お客様のサーバーやネットワーク・Webアプリケーション環境にて、脆弱性の有無や権限設定の見直しなどを弊社専門家が実施。リスクベース認証の導入が日常的な対策とすれば、脆弱性診断はスポットで定期的に実施する「健康診断」のようなセキュリティ対策です。
▼脆弱性診断:「認証周り」の確認項目の例
- ・ アカウントロックの有無(適切か)
- ・ 多要素認証の有無
- ・ エラーメッセージから認証情報が推測できないか
- ・ パスワードの強度は十分か
脆弱性診断を受けることで、組織の現状環境が「不正アクセス攻撃への耐性があるか」「課題は何か」「セキュリティリスクはどのレベルか」等を明らかにし、脆弱性へ対策を効率的に打つことが可能です。
2.クラウドサービスへの不正アクセスを防止「クラウドセキュリティ診断」
もう1点、MOTEXが Microsoft 365 やAWSといったクラウドサービスにおける認証周りのセキュリティ強化を支援するサービスに、「クラウドセキュリティ診断」があります。
- ・ 各種クラウドサービスに「多要素認証」を適用する
- ・ セッションタイムアウト時に「強制的にログアウトする」
など、不正アクセスの原因となる管理設定上の不備を洗い出すことで、攻撃者の侵入リスクを低減します。
まとめ
本記事では、リスクベース認証の概要や仕組み、導入メリットなどを解説しました。
本記事のまとめ
- リスクベース認証とは、ユーザーの行動を分析し、リスクレベルが高いと判断した場合に追加認証を行うセキュリティ方式
- リスクベース認証には「アクティブ認証」と「パッシブ認証」の2種類がある
- 主な導入メリットは「ログイン時のセキュリティ強化」と「ユーザーの負担軽減」の2点である
- 利用時の注意点として「誤検知や正当なアクセスの拒否」「導入や運用のコスト・人的リソースの必要性」などがあり、対策を講じる必要がある
リスクベース認証は、セキュリティの強化とユーザーの負担軽減を両立する、次世代のセキュリティシステムです。企業・組織のセキュリティが重要視される現代において、動的かつ柔軟な認証手法として有効と言えるでしょう。その他のセキュリティ対策と併用することで、より高度なセキュリティ体制構築を図ることが可能です。
おすすめ記事
