たまに役立つセキュリティ豆知識 第52回
「いつもと違う」と判断されたときだけ強固になる!
普段はパスワードだけなのに今日に限って――「リスクベース認証」ってなに?
2025年01月18日 18時00分更新
普段はパスワードオンリーなのに突然、二要素認証を求められた……これって?
別名・危なそうなときだけ認証!?
Q:「リスクベース認証」ってなに?
A:ユーザーがサービスやシステムなどにログインする際、それが通常のログイン操作によるものかどうかを評価し、「リスクが高い」と判断された場合には追加のセキュリティ対策を講じる認証方法。
おすすめの関連記事
AIは自転車。転んだときのためにセキュリティという名のヘルメットを被れば良い
リスク評価は、ユーザーが認証されたデバイスを使用しているか否かを判断するほか、ログイン時のIPアドレスが異なる地域や国でないかを確認。さらにログイン時刻が通常と異なる時間ではないか、短時間で繰り返しログイン試行していないか、といったことを確認する。
これらの要素を元にしてリスクスコアを算出し、スコアが高い場合には追加の認証ステップが発生する。追加の認証ステップには「二要素認証(2FA)」、事前に登録した「秘密の質問」の確認、mailやSMSへの認証コード送信などが実施される。
このリスクベース認証を採用することで、もちろん不正アクセスやアカウント乗っ取りのリスクを軽減できるが、リスクが低い場合は無駄な認証の手間を省いてログインできるという、正規ユーザーに対するメリットも生じることとなる。
現在、セキュリティと利便性のバランスを取りながらユーザーおよびサービス、システムを保護する技術として採用が進んでいる。
この連載の記事
-
第100回
デジタル
もうすぐ始まる「スマホ新法」で何が変わる? 便利な機能が削られる可能性も -
第99回
デジタル
今さら聞けないセキュリティ単語筆頭!? 「フィッシング詐欺」ってなに? -
第98回
デジタル
「ブラックフライデー」は毎年11月に「お買い得と詐欺」をもたらすカオスなシーズン -
第97回
デジタル
今一番怖いのは認証画面!? 「クリックフィックス(ClickFix)」への対策はPC知識を学ぶことかも -
第96回
デジタル
極小枠に広告を多重表示!? 貴重な広告費が無駄になる「アドフラウド」って何? -
第95回
デジタル
被害額560億円超! 暗号資産から裸の映像まで騙し取る「ニセ警察詐欺」が怖い -
第94回
デジタル
AIに仕事を任せたら社外秘を盗まれる!?「間接的プロンプトインジェクション」の脅威 -
第93回
デジタル
激安で商品を買ったはずなのに中身が違う! 「代引き詐欺」に遭わない対策は? -
第92回
デジタル
流行りのニセ警察詐欺も! 「特殊詐欺」って何が特殊なの? -
第91回
デジタル
「フィッシング詐欺ではない」ことを示す目印「BIMI」はどうやって使う? -
第90回
デジタル
サイバー攻撃からダメ学生あぶり出しまで「ステルスプロンプト」の威力とは? - この連載の一覧へ
