• リスクベース認証とは?詳細やメリット、多要素認証との違いやゼロトラストとの関係について解説!

リスクベース認証とは?詳細やメリット、多要素認証との違いやゼロトラストとの関係について解説!

リスクベース認証とは?詳細やメリット、多要素認証との違いやゼロトラストとの関係について解説!

新型コロナウイルス感染症の広がりにより、世界的にリモートワークが進みました。その一方、企業で扱う情報のセキュリティレベルの向上が急務課題となっています。今回はセキュリティを高める一助となる、リスクベース認証についてご紹介します。

目次

リスクベース認証とは?

リスクベース認証とは、ユーザーがサービスやシステムにログインする際、確実な本人認証をするために追加質問をすることです。ユーザーの行動履歴やIPアドレスなどを分析し、通常と異なる挙動でログインしようとした場合、新たな質問をします。

質問内容としてよく使われるのが「秘密の質問」です。これは「母親の旧姓」「出身中学校」「好きな観光地」など、ユーザーのプライベートな情報をあらかじめ設定しておくことで、第三者のなりすましを防ぐものです。忘れてしまったときのリカバリーが難しく、アカウントにログインできなくなってしまうというリスクはありますが、その分情報が漏洩する可能性は低いといえます。

リスクベース認証は現在、多くのサービスで採用されており、例えばOneLoginでもオプションとして追加が可能です。

リスクベース認証のメリット

リスクベース認証の最大のメリットは、不正ログインを回避できることです。ユーザーによってIDとパスワードの管理レベルは様々で、なかにはメモを残していたり、他のサービスやシステムと使いまわしたりしている例もあります。そうしたミスからIDとパスワードが漏洩してしまったとしても、追加質問がいわば最後の砦となり、不正ログインを防ぎます。

また、リスクベース認証はユーザーがいつも使っているIPアドレスやブラウザからのログインに対しては、追加質問をしません。つまり、ユーザー本人がログインする場合、手間を増やすことなくセキュリティレベルを向上させられます。

さらに、ユーザーの行動やアクセス環境などの分析が必要なため、情報を分析保存するためのコストはかかりますが、万が一不正ログインされてしまい重要な情報が漏洩してしまうと、より大きなコストがかかる可能性があります。そのため長期的な視点で見ると、コストパフォーマンスは高いと言えるでしょう。

リスクベース認証と多要素認証の違い

セキュリティレベルを上げる方法の一つに、多要素認証があります。これはログインの際、「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせる認証です。知識情報とはパスワード、PINコード、秘密の質問などを指します。所持情報にあたるのは、携帯電話やスマートフォン、ハードウェアトークン、ICカードなどです。生体情報は指紋や静脈、声紋などのことです。

一見するとリスクベース認証と同じように思えますが、多要素認証はログインするときは常に、複数の情報を入力しなければいけません。また、リスクベース認証で追加される質問は、知識情報にもとづくものであることが多いです。しかしIDとパスワード、秘密の質問はすべて「知識情報」にあたるので、2つ以上を組み合わせておらず、多要素認証にはあたりません。

リスクベース認証とゼロトラストネットワーク

近年、企業のセキュリティレベルを上げるために、ゼロトラストネットワーク(以下、ゼロトラスト)が注目されています。これは「ゼロ=0」「トラスト=信用」という名前の通り、ネットワークや端末のすべてを信用せず、ユーザーがログインしようとするたびに、そのアクセスを分析して、可否を決めるというものです。

可否は企業が定めるアクセスポリシーにもとづき、ユーザーがアクセス権を持っているか、端末は認証しているものかなどにより判断されます。端末を認証する際には、ウイルス対策ソフトの状態など動作状態を評価しますが、このような認証方法もリスクベース認証の一種です。

つまり、ゼロトラストを実現する要素の一つとして、リスクベース認証が大きな役割を担っていると言えます。

リスクベース認証で安心・安全なセキュリティ体制を構築

近年、企業にとって自社が保有する情報をどのように守るかは、大きな課題となっています。悪意ある第三者により情報が盗まれてしまった場合、自社や顧客に大きなダメージとなり、その後の企業活動に甚大な悪影響を及ぼします。そういったインシデントを避けるためにも、ぜひリスクベース認証について理解を深めてみてください。

三谷商事では、リスクベース認証を含む企業のセキュリティレベル向上のサポートを行っています。どのようなサービスを利用して情報を守るのか、ぜひ一度ご相談ください。具体的なパッケージのご提案から、セキュリティに関する基本的なご質問までご対応いたします。

IDaaSソリューションの比較表がダウンロードできます。

自社の環境にどのIDaaS製品が適しているか分からないという方におすすめの「IDaaSソリューションの徹底比較表」を公開しています。
興味がある方はこちらからご確認ください。
 

IDaaSソリューションの比較表はこちら

三谷商事にご相談ください

本記事に関するご質問や、SaaS製品導入に関する疑問点、不安点がございましたら、クラウドサービスの導入実績が豊富な三谷商事までお気軽にお問い合わせください。
お問い合わせはこちら