公開日: |更新日:
統合認証システムは便利なものですが、情報漏洩があった場合、なりすましや不正アクセスの被害を受けやすくなります。そこで活用されているのが「リスクベース認証」です。リスクベース認証とはなりすましや不正アクセスを防ぐため、アクセスログを収集し、追加認証を求めるシステムのことを指します。ここではリスクベース認証の概要や仕組みについて解説します。
リスクベース認証とは、統合認証システムにおいてなりすましや不正ログインを防止するためのものです。パスワードとIDでログインする統合認証システムでは、情報が漏洩した場合になりすましや不正ログインのリスクが高まります。そこでリスクベース認証ではログイン情報を取得し、不正アクセスの可能性が高い場合のみ利用者に対して追加で認証を求めます。
ログインの認証を複数段階準備すれば、それだけセキュリティレベルは高まるはずです。しかし毎回のログインで追加認証を受けなければならないとすると、ログインに手間がかかってしまいます。しかしリスクベース認証なら、リスクが高いと判断されたときのみ追加認証が求められるため、セキュリティレベルを高めながら使いやすいシステムを構築できます。
リスクベース認証ではアクセスのログからHTTPヘッダやCookieの情報を取得し、アクセス元がいつもの環境と違う場合にのみ追加の認証を求めます。アクセスログでのリスク検知は、利用者の居場所やアクセスの時間帯などにより行われるものです。アクセスログから地理情報・デバイス・アクセス時間帯・IPアドレス・登録済みデバイス・OS・ブラウザを収集して、平均的なアクセス状況を基準としてリスクをはかります。
たとえば通常であればいつも国内からアクセスしている利用者が、国外からアクセスしてきた場合、国外の人物に情報を盗まれたのではないかと予測できます。いつもはパソコンからログインしているのに、スマートフォンからログインを試みようとしている場合も同様です。その場合にリスクベース認証では追加の認証を求め、本人からのアクセスであることを確かめます。
また「不可能な移動」もリスク検知のための要素のひとつで、通常のアクセス場所から移動不可能な場所と時間帯を検出する機能です。たとえば東京からアクセスした1時間後に、イギリスからアクセスを試みることは不可能なので、なりすましや不正アクセスのリスクとして検知されます。いつもと同じ環境からのログインであれば追加認証は求められず、スムーズにログイン可能です。
統合認証システムは便利なものですが、IDやパスワードが漏洩してしまうと、なりすましや不正アクセスが起こりかねません。そこでなりすましや不正アクセスのリスクを軽減するため、リスクベース認証が導入されることがあります。リスクベース認証では利用者がいつもと違う環境からアクセスしてきた場合、なりすましや不正アクセスである可能性が高いと判断し、追加での認証を求めます。
統合認証システムを利用するには、セキュリティ関連はもちろん、基礎知識を知った上で活用しなければなりません。本サイトでは統合ID管理関連の基礎知識や選び方を解説していますので、導入を検討されているならぜひ参考にしてください。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
