リスクベース認証の特徴はどれか。
ア いかなる環境からの認証の要求においても認証方法を変更せずに,同一の手順によって普段どおりにシステムが利用できる。
イ ハードウェアトークンとパスワードを併用させるなど,認証要求元の環境によらず常に二つの認証方式を併用することによって,安全性を高める。
ウ 普段と異なる環境からのアクセスと判断した場合,追加の本人認証をすることによって,不正アクセスに対抗し安全性を高める。
エ 利用者が認証情報を忘れ,かつ,Webブラウザに保存しているパスワード情報も使用できない場合でも,救済することによって,利用者は普段どおりにシステムを利用できる。
認証システムの説明が並んでいる中、どれがリスクベース認証の説明化を判断させる問題。
セブンpayの情報流出事件が記憶に新しいが、あのような事件が発生した原因のひとつが「認証のザルさ」であった。このような事もあり、時事を意識して認証に関する問題が増えるかもしれない。
リスクベース認証とは
リスクベース認証とは、認証時に普段とは異なる挙動や環境を認識した際に、追加の認証を行う方法である。例えば、認証時のIPアドレスやブラウザ等がいつもと異なる場合に、IDとパスワードに加え、例えば「合言葉」などの認証情報を追加で要求する。なりすましログインを防ぐための工夫である。
これくらいを把握しておけば、この問題は簡単に解ける
アの解説
ア いかなる環境からの認証の要求においても認証方法を変更せずに,同一の手順によって普段どおりにシステムが利用できる。
「いかなる環境からの認証の要求においても認証方法を変更せずに」とあるので、リスクベース認証ではないとわかる。したがってアは×。
イの解説
イ ハードウェアトークンとパスワードを併用させるなど,認証要求元の環境によらず常に二つの認証方式を併用することによって,安全性を高める。
「認証要求元の環境によらず常に」2つの認証方式を併用する、とあるのでイは×。リスクベース認証であれば、「認証要求元の環境がいつもと異なる場合に」追加認証を行う。
イの説明文は、二要素認証の説明となっている。過不足のない、いい説明だと思う。
ウの解説
ウ 普段と異なる環境からのアクセスと判断した場合,追加の本人認証をすることによって,不正アクセスに対抗し安全性を高める。
リスクベース認証の説明である。したがってウが正解。「普段と異なる環境」「追加の本人認証」がキーワード。
エの解説
エ 利用者が認証情報を忘れ,かつ,Webブラウザに保存しているパスワード情報も使用できない場合でも,救済することによって,利用者は普段どおりにシステムを利用できる。
リスクベース認証に「利用者がパスワードを忘れた時の救済」といった要素はない。したがってエは×。
エはパスワードリマインダの説明となっている。「パスワードを忘れた方はこちら」をクリックして、メールやSMSに再認証用のパスワードが送られてくるアレのことである。
「秘密の質問」を用いて認証することもあるが、質問の答えを他人でも推測できてしまう場合があり、安全性は高くない。だからなのか、最近はあまり見なくなったような気がする。