応用情報技術者 2019年 春期 午前2 問37
問題文
リスクベース認証の特徴はどれか。
選択肢
ア:いかなる環境からの認証の要求においても認証方法を変更せずに、同一の手順によって普段どおりにシステムが利用できる。
イ:ハードウェアトークンとパスワードを併用させるなど、認証要求元の環境によらず常に二つの認証方式を併用することによって、安全性を高める。
ウ:普段と異なる環境からのアクセスと判断した場合、追加の本人認証をすることによって、不正アクセスに対抗し安全性を高める。(正解)
エ:利用者が認証情報を忘れ、かつ,Webブラウザに保存しているパスワード情報も使用できない場合でも、救済することによって、利用者は普段どおりにシステムを利用できる。
リスクベース認証の特徴とは【午前2 解説】
要点まとめ
- 結論:リスクベース認証は、普段と異なる環境からのアクセス時に追加認証を行い、不正アクセスを防止します。
- 根拠:アクセス環境のリスクを評価し、リスクが高い場合のみ強化認証を要求するため、利便性と安全性のバランスが取れています。
- 差がつくポイント:常に同じ認証方法を使うのではなく、状況に応じて認証強度を変える点がリスクベース認証の本質です。
正解の理由
選択肢ウは「普段と異なる環境からのアクセスと判断した場合、追加の本人認証をする」とあり、リスクベース認証の基本的な特徴を正確に表しています。リスク評価に基づき、通常時は簡易認証、リスクが高い場合は多要素認証などを追加することで、不正アクセスのリスクを低減します。
よくある誤解
リスクベース認証は「常に同じ認証方法を使う」わけではなく、状況に応じて認証強度を変える点が重要です。単に二要素認証を常時使う方式とは異なります。
解法ステップ
- 問題文の「リスクベース認証」の意味を確認する。
- 各選択肢が認証方法の固定性や変動性をどう扱っているかを比較する。
- 「リスクに応じて認証強度を変える」特徴を持つ選択肢を探す。
- それが選択肢ウであることを確認し、正解とする。
選択肢別の誤答解説
- ア: 認証方法を変更しないため、リスクベース認証の特徴である「リスクに応じた認証強度の変更」と矛盾します。
- イ: 常に二つの認証方式を併用するため、リスク評価に基づく柔軟な対応ではなく、利便性が低下します。
- ウ: リスク評価に基づき追加認証を行うため、正解です。
- エ: 認証情報の救済措置はリスクベース認証の特徴ではなく、利便性向上策の一つに過ぎません。
補足コラム
リスクベース認証は、ユーザーのIPアドレス、デバイス情報、アクセス時間帯などの環境情報を元にリスクを評価します。これにより、通常のアクセスでは簡単な認証で済み、異常なアクセス時には多要素認証を要求するなど、セキュリティと利便性の両立を図ります。
FAQ
Q: リスクベース認証は多要素認証と同じですか?
A: いいえ。多要素認証は常に複数の認証要素を使いますが、リスクベース認証は状況に応じて認証強度を変えます。
A: いいえ。多要素認証は常に複数の認証要素を使いますが、リスクベース認証は状況に応じて認証強度を変えます。
Q: どのような情報を使ってリスク評価を行いますか?
A: IPアドレス、デバイス情報、ログイン時間帯、過去の行動履歴などが用いられます。
A: IPアドレス、デバイス情報、ログイン時間帯、過去の行動履歴などが用いられます。
関連キーワード: リスクベース認証、多要素認証、セキュリティ、認証強度、不正アクセス防止
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!