Introduction
リスクベース認証という比較的新しい認証方式をご存じでしょうか?これは、ユーザーの行動パターンなどを分析してリスクの有無を判断し、リスクがあると判定した場合に追加の認証を行う方式です。リスクベース認証により、ECサイトや社内システムなどにおいて、ユーザーの利便性をできるだけそこなわずに、不正アクセスやなりすましを防げます。
この記事では、リスクベース認証について、仕組みや種類、メリット・注意点について解説します。
目次
リスクベース認証とは?
なりすまし被害や不正アクセスによる被害を防ぐために有効な新しいセキュリティ対策として、リスクベース認証があげられます。ここでは、リスクベース認証とは何か、その仕組みについて解説します。
ユーザーの行動パターンなどからリスクを判断して、追加の認証を要求すること
リスクベース認証は、ユーザーの行動パターンなどからリスクの有無を判断し、リスクがある場合には追加して認証を行う認証方式です。
IPA(情報処理推進機構)の『情報漏えいを防ぐためのモバイルデバイス等設定マニュアル』によると、次のように定義されています。
リスクベース認証
行動パターンやキーボードを使う時の癖がいつもと違うことを検出した時に、他人が利用しているかもしれない=リスクの検知と判断して、別の利用者認証を要求する
IDとパスワードによる認証は、二つの認証項目が外部に漏れてしまうことで、認証がやぶられてしまうリスクがあります。そのため、本人しか知り得ない情報や本人がもつスマホなどのデバイス、顔認証などの生体認証などを組み合わせる「多要素認証」が採用されています。
多要素認証は強固な認証方式ですが、毎回複数の認証を行うのは、手間がかかると感じる人も多いでしょう。そこで、リスクベース認証では、ユーザーの行動を分析して、リスクがあると判断した場合にのみ追加の認証を行います。
たとえば、いつもはアクセスがない時間帯のアクセスや、いつもと違う端末からのアクセスの場合、本人以外からの不正なアクセスである可能性が疑われます。そのため、そのようなケースを認識した場合にのみ追加の認証を行うことで、なりすましや不正アクセスの被害を防ぐことが可能です。
多要素認証についてはこちらもご覧ください。
>>多要素認証(MFA)とは?認証方式の種類やメリットについて解説のページへ
リスクベース認証の仕組み・例
リスクベース認証とはどのような仕組みなのか、例をいくつかあげてご説明します。
リスクベース認証では、アクセスログからユーザーのブラウザ、OS、IPアドレス、デバイス、位置情報、時間などの情報を取得してリスクを判断します。これらの情報は、アクセスログのなかに記載されており、システム側が取得して内容を判断することが可能です。
たとえば、ECサイトにログインする際に、そのユーザーが普段アクセスしない時間帯にアクセスが発生した場合、不正アクセスの疑いが高まります。その場合には、普段の認証にプラスして秘密の合言葉などを聞くことで、不正アクセスを防ぐことが可能です。
また、位置情報からそのユーザーのいつもの行動範囲とはまったく異なる、たとえば海外からのアクセスがあったとします。この場合、サイバー犯罪者からの不正アクセスの可能性が高いと判断し、SMS認証などを行います。
また、クレジットカード利用の際の認証スキームである「3Dセキュア2.0」も、リスクベース認証を用いているのが特徴です。3Dセキュア2.0とは、国際クレジットカードブランドの業界団体EMVCoが標準化を行っている認証スキームです。
ネット上でクレジットカード決済を行う際の本人認証時に、生体認証やワンタイムパスワード、QRコードスキャンなどによる認証を行います。これにより、ネット上におけるクレジットカード決済の認証システムの安全性が高まります。
リスクを判定するための要素
リスクベース認証を行う際に、判断材料として使われる要素には、以下のようなものがあります。
【リスクベース認証でリスクを判定するための要素】
要素 | リスクありと判定する例 |
IPアドレス | 社内ネットワーク経由のアクセス以外のアクセス |
位置情報 | GPSやIPアドレスなどから地域を取得し、海外などリスクの高い地域からのアクセス |
時間帯・曜日 | 社内システムなど、日中や平日にアクセスが多いシステムで、早朝や深夜、土日祝日などのアクセス |
デバイス | 社内ネットワークへの、社内で登録済みのデバイス以外からのアクセス |
過去のアクセス | 過去に認証成功したデバイス以外からのアクセス |
OS・ブラウザの種類やバージョン | リスクが高いと判断されたOS・ブラウザの種類やバージョンからのアクセス |
上記のような情報は、ECサイトや社内システムなどを利用する際はユーザーに見えませんが、アクセスログのなかに含まれています。電文のヘッダ情報などに上記のような情報が格納されており、システム側がそれらの情報を収集して、その都度判断することが可能です。
リスクベース認証には2種類の方式がある
リスクベース認証には、以下のような2種類の方式があります。ここでは、それぞれの方式についてご説明します。
アクティブ認証
アクティブ認証とは、追加認証時にユーザーの操作が必要な方式のことです。たとえば、以下のような追加認証の方法があります。
・ワンタイムパスワードを入手して入力する
・あらかじめ登録しておいた秘密の質問の答えを入力する
・USBトークンを利用する
ユーザーによる操作が必要になるため、利便性という面では劣ります。しかし、なりすましや不正アクセスを防げる、より安全性の高い方式です。
パッシブ認証
追加認証時にユーザーの操作が必要ない方式が、パッシブ認証です。たとえば、以下のような追加認証の方法があります。
・普段のアクセス時のIPアドレスと比較する
・デバイス情報から、普段アクセスする際に使用しているデバイスかどうかを確認する
・普段アクセスする際の同じような時間帯・曜日かどうかを確認する
ユーザーによる操作を行わないため、パッシブ認証よりも、アクティブ認証の方が安全性は高くなります。
一般的に、ECサイトやネットバンキングサイトなど、金銭のやりとりが発生するシステムでは、アクティブ認証とパッシブ認証を組み合わせて用います。一方、社内ネットワークや社内システムなどでは、パッシブ認証を用いることが多いです。
リスクベース認証のメリット
リスクベース認証を採用することによるメリットには、以下のようなものがあります。
不正アクセスやなりすましの被害を防げる
IDとパスワードの組による認証だけでは、IDとパスワードが盗まれてしまうと、簡単に不正アクセスやなりすましの被害にあってしまいます。しかし、リスクベース認証の機能がある場合、ユーザーの利便性をそこなうことなく、追加認証を行うことで本人確認を強化できます。そのため、不正アクセスやなりすましの被害を防ぐことが可能です。
たとえば、いつもの会社所有のタブレットからではなく、個人所有のパソコンから社内システムにアクセスしたとします。会社所有のタブレットからのアクセスなら、安全性が高いと認識されていますが、いつもと違う端末からアクセスされたことで、リスクありと判断されます。そして、SMS認証や秘密の言葉による認証などが行われ、第三者による不正アクセスではなく、登録された社員によるアクセスであることが確認できるでしょう。
このように、リスクがあると判断されたアクセスに対して追加の認証を行うことで、不正アクセスやなりすましの被害を防ぐことが可能です。
ユーザーの利便性が低下しにくい
リスクベース認証は、多要素認証と比較しても、利便性が低下しにくいことがメリットです。
多要素認証の場合、たとえば、IDとパスワードの認証に追加して、生体認証やSMS認証、ワンタイムパスワード認証などを必ず行います。毎回、顔を近づけて認証したり、SMSで暗証番号を受信して入力したり、ワンタイムパスワードを入力したりします。認証行為が一つ加えられるため、ユーザーの利便性が低下してしまうでしょう。
そこで、リスクベース認証を用いれば、安全なアクセスとある程度わかっており、追加の認証が不要と判断された場合、追加認証は行いません。たとえば、いつもと同じ端末からいつもと同じような位置情報で、いつもと同じ時間帯にアクセスしてくるユーザーは、本人である可能性が濃厚です。そのため、追加の認証は必要ないと判断されます。
このように、追加認証が行われるのは、不正アクセスやなりすましである可能性が高いアクセスだけです。たとえば、普段は日本でしか使われていないのに、海外からのアクセスがあった、いつもと違う端末からアクセスがあったなどの場合です。追加の認証を行うことで、本人であれば認証が成功しますが、本人でなかったら認証が通らず、不正アクセスやなりすましを防げます。
このように、リスクが高い場合だけ追加の認証を行うリスクベース認証により、ユーザーの利便性を保ったまま、セキュリティレベルを高めることが可能です。
リスクベース認証の注意点
リスクベース認証はメリットが多い一方で、導入時や運用時のデメリットもあります。ここでは、リスクベース認証を導入する際の注意点をご説明します。
導入や運用にコストがかかる
リスクベース認証を導入するためには、導入時や運用時のコストがかかります。
リスクベース認証を行うためには、ユーザーのアクセス情報を取得し、分析するための専用の認証ソリューションが必要です。導入したいシステムに、ソリューションを組み込んでテストを行う必要があり、システムへの負荷が問題ないかなども確認しなければなりません。また、ログ情報を格納するサーバーや、導入した認証ソリューションの管理など運用面でのコストも発生します。
このように、導入時や運用時のコストがかかるため、あらかじめ見積もっておく必要があるでしょう。
導入に向かない、導入できないケースがある
リスクベース認証の導入に向かない、あるいは導入できないケースもあります。たとえば、リスクベース認証を導入するシステムや機器のスペック、容量が足らない、運用を行う人員が足らないなどの場合です。
リスクベース認証を実現するためには、ユーザーからのアクセスログを収集して、情報を分析する必要があります。導入するシステムや機器のスペックが貧弱だと、大量のログを扱うことはむずかしいでしょう。また、運用を行うリソースの面で、対応できないという場合もあります。
追加認証に必要な情報を失うとログインできない
リスクベース認証により不正アクセスやなりすましを防ぐためには、追加認証を確実に行う必要があります。ただし、秘密の質問を記載したメモやトークンを紛失した、SMSやワンタイムパスワードを受けとるスマホが故障したなどの場合、認証を行えなくなってしまうでしょう。
アクセスをブロックするものではない
リスクベース認証のリスク分析機能や追加認証機能は、不正アクセスやなりすましによるアクセスなどを完全にブロックするものではありません。そのアクセスが正当と判断されれば、認証が成功してしまいます。
たとえば、アクセスログ上の位置情報や端末情報などを偽装できれば、リスクのない通常のアクセスであるとシステムをあざむいて、追加認証は不要と判断させられるでしょう。そして、IDとパスワードをあらかじめ窃取していれば、不正アクセスが可能です。また、生体認証やSMS認証など、追加認証をあざむいて認証を成功させるのはむずかしいですが、秘密の質問などはやぶることも可能です。
このように、リスクベース認証によるリスクの判断をあざむくか、追加認証をやぶることができれば、正当なアクセスとして扱われてしまいます。
まとめ
この記事では、リスクベース認証について、仕組みや種類、メリット・注意点について解説しました。
リスクベース認証により、ECサイトや社内システムなどにおいて、ユーザーの利便性をできるだけそこなわずに、不正アクセスやなりすましを防げます。
SHIFTでは、セキュリティソリューション導入支援を行っています。社内システムや企業が運営するECサイトなどにおいて、ユーザーの利便性をそこなうことなく、セキュリティレベル向上をご支援いたします。セキュリティ対策にお悩みの場合は、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ