コンテンツ
リスクベース認証とは?ログインでリスク判定された時のみ追加で認証するシステムのことです!
ログインを必要とするシステムにおいて、ログイン認証はユーザIDとパスワードが用いられることが一般的です。
しかし、これらの情報が外部に漏れてしまうと、第三者が不正にログインして悪用されてしまう可能性があります。
このようななりすましによる不正アクセス対策に有効とされているのが「リスクスペース認証」です。
「リスクスペース認証」は、ログインする際に取得した情報から、リスクがあると判断された場合にだけ追加の認証を要求します。
常にワンタイムパスワードなどの他の認証要素を要求するようなシステムでは、アクセスするたびに何度も追加の要求をされるので、利用者にとってはわずらわしさを感じてしまいます。
その点「リスクスペース認証」であればそのわずらわしさをあまり感じさせることなく、セキュリティを強化することができます。
リスクベース認証の仕組みを解説!
「リスクベース認証」では、ログインする際にHTTPヘッダやCookieなどからさまざまな情報を取得します。
この情報からアクセスしてきたユーザーの利用する端末やOS、ブラウザ、IPアドレス、行動パターンなどがいつもと違っていた場合に、なりすましの可能性があると判断します。
なりすましの可能性があると判断すると、ユーザーIDとパスワードによる通常の認証に加え、ユーザーに対して追加の認証を実施します。
代表的なものが「秘密の質問」を使ったもので「好きな食べ物は?」「飼っていたペットの名前は?」「母親の名前は?」といった、あらかじめ登録されていた、ユーザー本人にしかわからない質問によって認証を行います。この質問に答えられないと、それ以上の操作は行えません。
このような特徴から「秘密の質問」はできるだけ推測しやすい質問を避けるほうがよいでしょう。
中には独自の秘密をカスタマイズできるサービスもあるので、その場合は利用するのがおすすめです。
「リスクベース認証」はこのような仕組みを使い、ユーザーの利便性を損なうことなく認証を行うことを可能としています。
認証にはどんな種類がある?~アクティブ認証・パッシブ認証~
リスクベース認証には「アクティブ認証」と「パッシブ認証」の2つの種類があります。
それぞれの特徴をみていきましょう。
アクティブ認証
「アクティブ認証」はユーザーの操作を必要とするもので、前述の「秘密の質問」や「ワンタイムパスワード」「USBトークン」などがあります。
ユーザーの操作を必要とするので利便性は低くなりますが、確実に認証することができます。
パッシブ認証
ユーザーの操作を必要とする「アクティブ認証」に対し「パッシブ認証」は特別な操作を必要としません。アクセスしてきたコンピュータの種類、IPアドレス、サイト内の行動パターンなどの情報を使い、ユーザーを認証します。
「パッシブ認証」は不審な行動をしているユーザーにのみ追加で認証を行うので、ユーザーの負担を増やさずにセキュリティ対策が行え、利便性が高くなります。
ただし、安全性については「アクティブ認証」のほうが優れています。
一般的には、外部と接続し重要情報を管理するようなサイトでは「アクティブ認証」を、社内システムへのアクセスなどでは「パッシブ認証」を活用することが多いでしょう。
また、認証方法には「多要素認証」があります。
これはパスワードに加え、生体認証やSNS認証といった複数の要素を組み合わせて行う認証方法です。
ユーザーの負担は増えますが、より確実に認証を行うことができます。
リスクベース認証でリスクがあるか判定するのはどんなデータ?
「リスクベース認証」において利用するリスク要素には次のようなものがあります。
IPアドレス
特定のIPアドレス以外からのアクセスだった場合に、リスクがあると判定します。
OS、ブラウザ
OSやブラウザの種類、バージョンからリスクを判定します。
位置情報
GPSやIPアドレスをもとに、リスクのある場所からのアクセスを判定します。
時間帯や曜日
主に利用される日時や曜日が決まっているサービスの場合、それ以外のアクセスはリスクがあると判定します。
登録済みのデバイス
組織で管理しているデバイス以外からのアクセスを、リスクがあると判定します。
過去にアクセスしたことのあるデバイス
過去にアクセスに成功したデバイスでない場合に、リスクがあると判定します。
不可能な移動
アクセスした時間帯や場所、過去のアクセス状態から不可解な移動を検知します。
これらの要素を複合的に判断して、リスクがあると判断された場合に認証を追加で要求します。
リスクベース認証のメリット・デメリットをチェック!デメリットから考える注意点も解説
では「リスクベース認証」のメリット・デメリットをそれぞれみていきましょう。
リスクベース認証のメリット
「リスクベース認証」はリスクがあるアクセスの時だけ追加の認証を要求します。
ユーザーは通常であれば追加の認証が不要であるため、利便性を損なうことなくセキュリティ対策を行えるのが大きなメリットです。
IDとパスワードのみの認証では、悪意のある第三者に知られてしまうと不正なログインに使用されてしまいます。その点「リスクベース認証」であればログインしようとするユーザーのブラウザやIPアドレスなどがチェックされます。
認証にこれらの情報を使用することで、不正なログインをしようとする側が正規のユーザーと同一にすることは格段に難しくなります。
また、リスクがあると判定されてもブロックをするわけではなく、追加の認証によって通常のアクセスだと判定されれば、ユーザーはシステムを利用することができます。
リスクベース認証のデメリット
IDとパスワードのみの認証に比べると、追加の認証が発生する可能性があるので、その点はデメリットといえるかもしれません。
また「リスクベース認証」を導入することによる運用負荷やコストが発生します。
また「秘密の質問」を使用した場合、質問の答えを忘れてしまうとシステムにログインできなくなってしまうので注意が必要です。最悪の場合、アカウントの再登録が必要となる場合もあるでしょう。
リスクベース認証は自社開発可能?具体的な実装方法とは
これまで「リスクベース認証」の特徴やメリット・デメリットなどについてみてきましたが、実装するにはどうすればよいのでしょうか。
一般向けに公開されたソースコードで、無料で使用したり自由に改変したりすることができるOSS(open source software)にも「Open AM」などの「リスクベース認証」のソースコードが存在し、自社開発で実装することは可能です。
ただし、自社で開発するには手間とコストがかかりますし、自社に開発部門がないのであれば「リスクベース認証」のプロバイダがありますので、利用するのが無難でしょう。
リスクベース認証の実例やおすすめプロバイダ!
それでは実際にプロバイダを利用する際のおすすめをご紹介していきましょう。
RSA Adaptive Authentication
リスク判定はAIによる自動学習によって行われ、一切の手間なく運用することができます。
約3000社以上という豊富な運用実績を誇るサービスです。
one login
office365、Dropbox、googleアプリを利用している企業向けに、クラウド間のID連携やアクセスコントロールを提供しているサービスです。
LOCKED
SaaS型での運用で、どのウェブサイトにおいても常に最新のセキュリティを提供することができるサービスです。
オンプレやクラウドにまたがった統合も可能です。
日本国内の事業者なので、開発支援、セキュリティ体制の構築支援も期待できるのが強みです。
これまでみてきたように、ユーザーの負担が増えて利便性が損なわれてしまう多要素認証に対し「リスクベース認証」を使うことで、ユーザーの負担を最小限に抑えながら不正アクセス対策を実現することができます。
情報漏洩のリスクを少なくするために、非常に重要な機能といえるでしょう。
リスクベース認証を導入するには
リスクベース認証についてご紹介させていただきました。
リスクベース認証の導入には、API連携などが必要となり、セキュリティに精通した開発業者に依頼すると安心です。
Samuraiでは、セキュリティ面からも安心できるシステム構築のご提案が可能です。新規サービスの開発なども調査段階から対応可能ですので、お気軽にご相談ください。
この記事を書いた人