情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅰ 問12: リスクベース認証の特徴はどれか。
←情報処理安全確保支援士試験 平成31年度春期 午前Ⅰ
リスクベース認証の特徴はどれか。
選択肢
- ア.いかなる環境からの認証の要求においても認証方法を変更せずに,同一の手順によって普段どおりにシステムが利用できる。
- イ.ハードウェアトークンとパスワードを併用させるなど,認証要求元の環境によらず常に二つの認証方式を併用することによって,安全性を高める。
- ウ.普段と異なる環境からのアクセスと判断した場合,追加の本人認証をすることによって,不正アクセスに対抗し安全性を高める。
- エ.利用者が認証情報を忘れ,かつ,Web ブラウザに保存しているパスワード情報も使用できない場合でも,救済することによって,利用者は普段どおりにシステムを利用できる。
正解
ウ. 普段と異なる環境からのアクセスと判断した場合,追加の本人認証をすることによって,不正アクセスに対抗し安全性を高める。
解説
リスクベース認証は、アクセス元のIPアドレス・端末・場所・時間帯などからリスクを評価し、普段と異なる怪しい状況のときだけ追加認証(合言葉やワンタイムパスワード等)を求める方式。通常時は利便性を保ちつつ、不審時のみ強化する点が特徴でウが正解。インターネットバンキング等で不正ログイン対策として広く使われ、利便性と安全性の両立を図る手法である。
選択肢ごとの解説
- ア.環境によらず常に同じ手順とあるが、リスクに応じて認証を変えるのが本方式の特徴で誤り。
- イ.環境によらず常に二要素を併用するのは固定的な多要素認証の説明で、リスク連動ではなく誤り。
- ウ.普段と異なる環境を検知したときに追加認証を求めて安全性を高める、という定義どおりで正解。
- エ.認証情報を忘れた利用者を救済する仕組みの記述で、リスクベース認証とは無関係で誤り。
情報処理安全確保支援士試験 平成31年度春期 午前Ⅰ の過去問一覧へ戻る・問12