戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2016年 秋期

情報処理安全確保支援士試験 2016年 秋期 午前206

リスクベース認証に該当するものはどれか。
インターネットからの全てのアクセスに対しトークンで生成されたワンタイムパスワードで認証する。
インターネットバンキングでの連続する取引において取引の都度乱数表の指定したマス目にある英数字を入力させて認証する。
利用者のIPアドレスなどの環境を分析しいつもと異なるネットワークからのアクセスに対して追加の認証を行う。(正解)
利用者の記憶、持ち物、身体の特徴のうち必ず二つ以上の方式を組み合わせて認証する。

解説

リスクベース認証に該当するものはどれか【午前2 解説】

要点まとめ

  • 結論:リスクベース認証は利用者の環境や行動を分析し、異常があれば追加認証を行う方式です。
  • 根拠:通常の認証に加え、IPアドレスなどのリスク要因を評価し、リスクが高い場合にのみ強化認証を要求します。
  • 差がつくポイント:単純なワンタイムパスワードや多要素認証と異なり、状況に応じて認証強度を変える点が特徴です。

正解の理由

選択肢ウは「利用者のIPアドレスなどの環境を分析し、いつもと異なるネットワークからのアクセスに対して追加の認証を行う」とあります。これはまさにリスクベース認証の定義に合致します。利用者のアクセス環境をリアルタイムで評価し、リスクが高い場合にのみ追加認証を求めるため、利便性とセキュリティのバランスが取れています。

よくある誤解

リスクベース認証は単に多要素認証やワンタイムパスワードを使うことではありません。状況に応じて認証レベルを変える点が重要です。

解法ステップ

  1. 問題文の「リスクベース認証」の意味を確認する。
  2. 各選択肢の認証方式を理解し、リスク評価の有無を見極める。
  3. 環境や行動の変化に応じて認証強度を変えるものを選ぶ。
  4. 追加認証が常に必要なものや単純な多要素認証は除外する。
  5. 最もリスクベース認証の特徴を満たす選択肢を選択する。

選択肢別の誤答解説

  • ア: 全てのアクセスにワンタイムパスワードを要求するため、リスク評価を行わず常に同じ認証強度でありリスクベース認証ではありません。
  • イ: 取引ごとに乱数表の英数字を入力させる方式で、これもリスク評価を伴わず常に同じ認証を行うため該当しません。
  • ウ: 利用者のIPアドレスなど環境を分析し、異常時に追加認証を行うためリスクベース認証に該当します。
  • エ: 複数の認証要素を組み合わせる多要素認証であり、リスク評価に基づく動的な認証強度変更ではありません。

補足コラム

リスクベース認証はユーザビリティを損なわずにセキュリティを強化する手法として注目されています。例えば、普段使っている端末や場所からのアクセスは簡単に認証し、未知の端末や異常な行動が検知された場合にのみ追加認証を求めるため、利便性と安全性の両立が可能です。

FAQ

Q: リスクベース認証は多要素認証とどう違いますか?
A: 多要素認証は複数の認証要素を常に要求しますが、リスクベース認証は状況に応じて認証強度を変えます。
Q: IPアドレス以外にどんな情報がリスク評価に使われますか?
A: 端末情報、位置情報、アクセス時間、行動パターンなどが利用されます。
関連キーワード: リスクベース認証, 多要素認証, ワンタイムパスワード, 認証強度, セキュリティ対策
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ