応用情報技術者試験 応用情報技術者試験 平成31年度春期 午前 問37: リスクベース認証の特徴はどれか。

問題本文

リスクベース認証の特徴はどれか。

選択肢

• ア.いかなる環境からの認証の要求においても認証方法を変更せずに，同一の手順によって普段どおりにシステムが利用できる。
• イ.ハードウェアトークンとパスワードを併用させるなど，認証要求元の環境によらず常に二つの認証方式を併用することによって，安全性を高める。
• ウ.普段と異なる環境からのアクセスと判断した場合，追加の本人認証をすることによって，不正アクセスに対抗し安全性を高める。
• エ.利用者が認証情報を忘れ，かつ，Web ブラウザに保存しているパスワード情報も使用できない場合でも，救済することによって，利用者は普段どおりにシステムを利用できる。

正解

ウ. 普段と異なる環境からのアクセスと判断した場合，追加の本人認証をすることによって，不正アクセスに対抗し安全性を高める。

解説

リスクベース認証の仕組みを問う問題である。リスクベース認証は、アクセス元の IP アドレス・端末・場所・時間帯などから普段の利用パターンと比べてリスクの高さを判断し、いつもと異なる環境からのアクセスと判断した場合にだけ追加の本人確認（合言葉や別経路の確認など）を求める方式である。利便性とセキュリティを両立させる点が特徴であり、ウが正解である。

選択肢ごとの解説

• ア.環境によらず常に同一手順で利用できるとあるが、リスクベース認証は環境に応じて認証手順を変える方式なので説明が逆で誤り。
• イ.環境によらず常に 2 つの認証方式を併用するのは多要素認証（二要素認証）の説明であり、状況に応じて追加認証を行うリスクベース認証とは異なる。
• ウ.普段と異なる環境からのアクセス時にだけ追加の本人認証を行うという、リスクベース認証の定義そのものであり正しい。
• エ.認証情報を忘れた利用者を救済する仕組みはパスワードリセットやアカウント回復の説明であり、リスクベース認証ではない。