情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度春期 午前 問25: リスクベース認証に該当するものはどれか。

問題本文

リスクベース認証に該当するものはどれか。

選択肢

• ア.インターネットからの全てのアクセスに対し，トークンで生成されたワンタイムパスワードを入力させて認証する。
• イ.インターネットバンキングでの連続する取引において，取引の都度，乱数表の指定したマス目にある英数字を入力させて認証する。
• ウ.利用者のIPアドレスなどの環境を分析し，いつもと異なるネットワークからのアクセスに対して追加の認証を行う。
• エ.利用者の記憶，持ち物，身体の特徴のうち，必ず二つ以上の方式を組み合わせて認証する。

正解

ウ. 利用者のIPアドレスなどの環境を分析し，いつもと異なるネットワークからのアクセスに対して追加の認証を行う。

解説

リスクベース認証とは，アクセス時のIPアドレス・利用端末・アクセス時間帯・場所などの環境情報を分析し，普段と異なる不審なアクセスを検知したときにだけ追加の認証を求める方式である。いつもと異なるネットワークからのアクセスに対して追加認証を行うとした選択肢ウが該当し，正解である。

選択肢ごとの解説

• ア.全てのアクセスに一律でワンタイムパスワードを求めるのは通常の多要素認証であり，リスクに応じて追加認証を変えるリスクベース認証ではない。
• イ.毎回乱数表で指定マスの値を入力させるのは固定的な認証手段であり，状況を分析して追加認証を行うリスクベース認証ではない。
• ウ.IPアドレスなどの環境を分析し，いつもと異なるアクセスに追加認証を行うのは，リスクベース認証の定義に合致する。
• エ.記憶・持ち物・身体的特徴から二つ以上を組み合わせるのは多要素認証の説明であり，リスクベース認証ではない。