基本情報技術者試験 ap-2021r03h-a 午前 問39: リスクベース認証の特徴はどれか。

問題本文

リスクベース認証の特徴はどれか。

選択肢

• ア.いかなる利用条件でのアクセスの要求においても，ハードウェアトークンとパスワードを併用するなど，常に二つの認証方式を併用することによって，不正アクセスに対する安全性を高める。
• イ.いかなる利用条件でのアクセスの要求においても認証方法を変更せずに，同一の手順によって普段どおりにシステムにアクセスできるようにし，可用性を高める。
• ウ.普段と異なる利用条件でのアクセスと判断した場合には，追加の本人認証をすることによって，不正アクセスに対する安全性を高める。
• エ.利用者が認証情報を忘れ，かつ，Webブラウザに保存しているパスワード情報を使用できないリスクを想定して，緊急と判断した場合には，認証情報を入力せずに，利用者は普段どおりにシステムを利用できるようにし，可用性を高める。

正解

ウ. 普段と異なる利用条件でのアクセスと判断した場合には，追加の本人認証をすることによって，不正アクセスに対する安全性を高める。

解説

リスクベース認証は，アクセス時の利用環境(IPアドレス・端末・場所・時間帯など)が普段と同じかをリスクとして評価し，普段どおりなら通常の認証で済ませ，普段と異なる怪しいアクセスと判断したときだけ追加の本人確認(合言葉やワンタイムパスワード等)を求める方式である。利便性を保ちつつ不正アクセスを抑える狙いで，普段と異なる場合に追加認証を行うとするウが正解。

選択肢ごとの解説

• ア.利用条件によらず常に2つの認証方式を併用するのは多要素認証の説明で，状況に応じて認証を変えるリスクベース認証とは異なる。
• イ.いかなる場合も認証方法を変えないのは，リスクに応じて認証を強化するリスクベース認証の特徴と相反する。
• ウ.普段と異なるアクセスのときだけ追加認証を行って安全性を高めるのがリスクベース認証であり，正しい。
• エ.緊急時に認証情報なしで利用させるのはセキュリティを損なう運用で，リスクベース認証の特徴ではない。