応用情報技術者試験 応用情報技術者試験 平成28年度秋期 午前 問40: リスクベース認証の特徴はどれか。

問題本文

リスクベース認証の特徴はどれか。

選択肢

• ア.Web ブラウザに格納しているパスワード情報が使用できず，かつ，利用者が認証情報を忘れても，救済することによって，普段どおりにシステムが利用できる。
• イ.いかなる環境からの認証の要求においても認証方法を変更せずに，同一の手順によって普段どおりにシステムが利用できるように利便性を高める。
• ウ.ハードウェアトークンとパスワードを併用させるなど，認証要求元の環境によらず二つの認証方式を併用することによって，安全性を高める。
• エ.普段と異なる環境からのアクセスと判断した場合，追加の本人認証をすることによって，一定の利便性を保ちながら，不正アクセスに対抗し安全性を高める。

正解

エ. 普段と異なる環境からのアクセスと判断した場合，追加の本人認証をすることによって，一定の利便性を保ちながら，不正アクセスに対抗し安全性を高める。

解説

認証方式の特徴を識別する問題。リスクベース認証は、利用者のアクセス環境(IPアドレス、利用端末、アクセス時間帯、地域など)を分析し、普段と異なる環境からのアクセスでリスクが高いと判断したときだけ、追加の本人確認(秘密の質問やワンタイムパスワードなど)を求める方式である。普段どおりの環境ではスムーズにログインでき利便性を保ちつつ、なりすましの疑いがある場合に認証を強化して安全性を高める。「普段と異なる環境からのアクセスと判断した場合に追加認証を行う」エが正しい。

選択肢ごとの解説

• ア.パスワードを忘れても救済して普段どおり使える、というのはパスワードリセットやアカウント復旧の説明であり、アクセス環境のリスクに応じて認証を変えるリスクベース認証の特徴ではないため誤り。
• イ.リスクベース認証は環境に応じて認証手順を変える方式であり、「いかなる環境でも認証方法を変えず同一手順」というのは正反対の説明で誤り。
• ウ.環境によらず常に2つの認証方式を併用するのは多要素認証(二要素認証)の説明であり、リスクに応じて追加認証する点が異なるため誤り。
• エ.普段と異なる環境からのアクセスと判断したときに追加の本人認証を行い、利便性と安全性を両立させるのはリスクベース認証の特徴そのものであり、正しい。