情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 科目A サンプル問題 問24: リスクベース認証に該当するものはどれか。

問題本文

リスクベース認証に該当するものはどれか。

選択肢

• ア.インターネットバンキングでの取引において，取引の都度，乱数表の指定したマス目にある英数字を入力させて認証する。
• イ.全てのアクセスに対し，トークンで生成されたワンタイムパスワードを入力させて認証する。
• ウ.利用者のIPアドレスなどの環境を分析し，いつもと異なるネットワークからのアクセスに対して追加の認証を行う。
• エ.利用者の記憶，持ち物，身体の特徴のうち，必ず二つ以上の方式を組み合わせて認証する。

正解

ウ. 利用者のIPアドレスなどの環境を分析し，いつもと異なるネットワークからのアクセスに対して追加の認証を行う。

解説

リスクベース認証は、アクセス元のIPアドレスや端末、アクセス時間などの環境情報からリスクの高さを判定し、普段と異なる状況など危険性が高いと判断した場合にのみ追加の認証を求める方式である。環境を分析し普段と異なるアクセスに追加認証を行うウが正しい。

選択肢ごとの解説

• ア.乱数表のマス目を毎回入力させるのはマトリクス認証であり、リスクの状況判定を伴わないため誤り。
• イ.全アクセスに一律でワンタイムパスワードを求めるのはOTP認証で、リスクに応じた制御ではない。誤り。
• ウ.環境を分析し普段と異なるアクセスにのみ追加認証を行うのがリスクベース認証であり、正しい。
• エ.記憶・持ち物・生体のうち二つ以上を組み合わせるのは多要素認証の説明であり、リスクベース認証ではない。