応用情報技術者 2021年 春期 午前2 問39
問題文
リスクベース認証の特徴はどれか。
選択肢
ア:いかなる利用条件でのアクセスの要求においても、ハードウェアトークンとパスワードを併用するなど、常に二つの認証方式を併用することによって、不正アクセスに対する安全性を高める。
イ:いかなる利用条件でのアクセスの要求においても認証方法を変更せずに、同一の手順によって普段どおりにシステムにアクセスできるようにし、可用性を高める。
ウ:普段と異なる利用条件でのアクセスと判断した場合には、追加の本人認証をすることによって、不正アクセスに対する安全性を高める。(正解)
エ:利用者が認証情報を忘れ、かつ、Webブラウザに保存しているパスワード情報を使用できないリスクを想定して、緊急と判断した場合には、認証情報を入力せずに、利用者は普段どおりにシステムを利用できるようにし、可用性を高める。
リスクベース認証の特徴とは【午前2 解説】
要点まとめ
- 結論:リスクベース認証は、普段と異なるアクセス条件を検知した際に追加認証を行い安全性を高めます。
- 根拠:アクセス状況のリスク評価に基づき、必要に応じて認証強度を変える動的な認証方式だからです。
- 差がつくポイント:常に同じ認証を行うのではなく、リスクに応じて認証レベルを調整する点が理解できているかが重要です。
正解の理由
選択肢ウは「普段と異なる利用条件でのアクセスと判断した場合に追加の本人認証を行う」とあり、リスクベース認証の本質を正確に表しています。リスクベース認証は、アクセス環境や行動パターンの異常を検知し、リスクが高いと判断した場合にのみ追加認証を要求することで、不正アクセスを防止しつつ利便性も確保します。
よくある誤解
リスクベース認証は常に二要素認証を行うわけではなく、リスクに応じて認証強度を変える点を誤解しやすいです。
また、認証方法を固定して可用性だけを重視するものではありません。
また、認証方法を固定して可用性だけを重視するものではありません。
解法ステップ
- 問題文の「リスクベース認証」の意味を確認する。
- 各選択肢の認証方式の特徴を比較する。
- 「リスクに応じて認証を変える」点があるかを探す。
- 追加認証を条件付きで行う選択肢を選ぶ。
- 不正アクセス防止と利便性のバランスを考慮する。
選択肢別の誤答解説
- ア:常に二つの認証方式を併用する「多要素認証」の説明であり、リスクベース認証とは異なります。
- イ:認証方法を変更せずに同一手順でアクセスするため、リスクに応じた認証強度の調整がありません。
- ウ:リスクベース認証の特徴を正しく表現しています。
- エ:認証情報を入力せずに利用可能にするのはセキュリティリスクが高く、リスクベース認証の趣旨に反します。
補足コラム
リスクベース認証は、ユーザーのIPアドレス、端末情報、アクセス時間帯などの複数の要素を分析し、通常と異なるアクセスを検知した場合に追加認証を求める仕組みです。これにより、ユーザーの利便性を損なわずにセキュリティを強化できます。金融機関や大規模サービスでの導入が進んでいます。
FAQ
Q: リスクベース認証は多要素認証とどう違いますか?
A: 多要素認証は常に複数の認証要素を要求しますが、リスクベース認証はリスクに応じて認証要素の数や種類を変えます。
A: 多要素認証は常に複数の認証要素を要求しますが、リスクベース認証はリスクに応じて認証要素の数や種類を変えます。
Q: どのような条件で追加認証が求められますか?
A: 例として、普段と異なるIPアドレスや端末からのアクセス、異常な時間帯のアクセスなどが挙げられます。
A: 例として、普段と異なるIPアドレスや端末からのアクセス、異常な時間帯のアクセスなどが挙げられます。
関連キーワード: リスクベース認証、追加認証、多要素認証、セキュリティ、不正アクセス防止
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!