情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和6年度 科目A 公開問題 問5: リスクベース認証の説明として，適切なものはどれか。

問題本文

リスクベース認証の説明として，適切なものはどれか。

選択肢

• ア.機器の画面に表示された点を正しい順序に一筆書きでなぞった場合，認証が成功し，機器のロックが解除される。
• イ.通常とは異なるIPアドレス，Webブラウザなどから認証要求があった場合に，追加の認証を行う。
• ウ.認証局が，Webサイトへのサーバ証明書発行において，サーバ証明書に記載される組織のドメイン利用権，法的及び物理的実在性を確認する。
• エ.ゆがんだ文字を含む画像を表示し，その文字が正しく入力された場合に認証が成功する。

正解

イ. 通常とは異なるIPアドレス，Webブラウザなどから認証要求があった場合に，追加の認証を行う。

解説

リスクベース認証とは、利用者のアクセス元IPアドレス、地域、使用端末やWebブラウザなどの環境情報を平常時と比較し、普段と異なる（リスクが高い）アクセスを検知した場合にのみ追加の認証を要求する仕組みである。通常時の利便性を保ちつつ、不正アクセスの疑いがあるときだけ認証を強化できる。通常と異なる環境からの要求時に追加認証を行うと述べるイが正解である。

選択肢ごとの解説

• ア.点を一筆書きでなぞる認証はパターン（ジェスチャー）認証の説明であり、リスクベース認証ではないため誤り。
• イ.普段と異なるIPアドレスやブラウザからの要求時に追加認証を行うという記述はリスクベース認証の定義に一致するため正しい。
• ウ.組織のドメイン利用権や実在性を確認するのはEV証明書発行時の認証局の審査の説明であり、リスクベース認証ではないため誤り。
• エ.ゆがんだ文字を入力させる仕組みはCAPTCHA（人間とボットの判別）の説明であり、リスクベース認証ではないため誤り。