基本情報技術者試験「リスクベース認証」の問題
F社のWebサービスは、普段は国内の固定の場所と端末から利用される利用者が大半である。ある利用者のアカウントに、深夜に海外のIPアドレスから見慣れない端末でのログイン試行があった。利便性を保ちつつ不正ログインを抑止する認証方式として最も適切なものはどれか。
ア利用者を問わず、すべてのログインでワンタイムパスワードの入力を毎回必ず求める。
イ場所や端末が普段の傾向から外れたログインに限り、追加の本人確認を課す。
ウ海外IPからのアクセスを国単位でまとめて拒否し、国内発のものだけを通す。
エログインの失敗が規定回数に達したアカウントを一定時間ロックする。
正解
イ.場所や端末が普段の傾向から外れたログインに限り、追加の本人確認を課す。
リスクベース認証は、アクセス元の場所・端末・時刻などの文脈から普段との差異(リスク)を評価し、リスクが高いときに限って追加の本人確認を要求する。通常の利用では追加入力がなく利便性を保ちつつ、本問のような『深夜・海外・見慣れない端末』という異常なログインだけを狙って抑止でき、利便性とセキュリティを両立する。
?選択肢ごとの解説
ア ×毎回必須のワンタイムパスワードは安全だが、通常時の利便性を大きく損ない『利便性を保つ』という条件に反する。
イ ○リスクベース認証は、アクセス元の場所・端末・時刻などの文脈から普段との差異(リスク)を評価し、リスクが高いときに限って追加の本人確認を要求する。通常の利用では追加入力がなく利便性を保ちつつ、本問のような『深夜・海外・見慣れない端末』という異常なログインだけを狙って抑止でき、利便性とセキュリティを両立する。
ウ ×国単位の一律遮断は、正規利用者の海外出張時のアクセスまで阻害し利便性を損なううえ、国内からの不正には無力である。
エ ×アカウントロックは多数回の失敗を伴う総当たりには有効だが、正しい認証情報を持つ不正ログインや少数回の試行には発動せず、本問の異常検知には不十分である。
✎くわしく
リスクベース認証は『一律強化』ではなく『状況に応じた可変強化』である。普段の行動パターンを基準(ベースライン)として逸脱度を測り、高リスク時のみ摩擦(追加認証)を加える。利便性とセキュリティのトレードオフを動的に最適化する考え方である。
✓本番での押さえどころ
試験のコツ
『利便性を保ちつつ異常なログインを抑止』が条件なら、状況に応じて追加認証を出すリスクベース認証が正解。
覚え方
いつもと違う時だけ『本当にあなた?』と聞く。普段は素通り、怪しい時だけ追加チェック。
よくある誤り
安全性だけ見て『毎回必須(ア)』を選ぶと、明記された『利便性を保つ』条件を満たせない。条件の読み取りが鍵である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0066