情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ 問6: リスクベース認証に該当するものはどれか。
←情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ
リスクベース認証に該当するものはどれか。
選択肢
- ア.インターネットからの全てのアクセスに対し,トークンで生成されたワンタイムパスワードで認証する。
- イ.インターネットバンキングでの連続する取引において,取引の都度,乱数表の指定したマス目にある英数字を入力させて認証する。
- ウ.利用者の IP アドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。
- エ.利用者の記憶,持ち物,身体の特徴のうち,必ず二つ以上の方式を組み合わせて認証する。
正解
ウ. 利用者の IP アドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。
解説
リスクベース認証は、アクセス元のIPアドレス・端末・地理情報・時間帯などの環境を分析し、普段と異なる挙動を検知したときだけ追加認証を求める方式。利便性を保ちつつ不正ログインのリスクを抑える。よってウが正解。実務ではクラウドサービスや銀行で、なりすましの兆候がある場合に二段階認証を追加する形で使われる。
選択肢ごとの解説
- ア.全アクセスに一律ワンタイムパスワードを課すのはリスクに応じた切替えがなく誤り。
- イ.毎回乱数表を入力させるのも一律の認証で、リスク評価による変化がなく誤り。
- ウ.環境を分析し異常時のみ追加認証する点がリスクベース認証で正解。
- エ.記憶・持ち物・生体を組み合わせるのは多要素認証の説明で誤り。
情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ の過去問一覧へ戻る・問6