情報セキュリティ

基本情報技術者試験リスクベース認証」の問題

情報セキュリティ情報セキュリティ難易度:normal
F社のWebサービスは、普段は国内の固定の場所と端末から利用される利用者が大半である。ある利用者のアカウントに、深夜に海外のIPアドレスから見慣れない端末でのログイン試行があった。利便性を保ちつつ不正ログインを抑止する認証方式として最も適切なものはどれか。
利用者を問わず、すべてのログインでワンタイムパスワードの入力を毎回必ず求める。
場所や端末が普段の傾向から外れたログインに限り、追加の本人確認を課す。
海外IPからのアクセスを国単位でまとめて拒否し、国内発のものだけを通す。
ログインの失敗が規定回数に達したアカウントを一定時間ロックする。
正解
場所や端末が普段の傾向から外れたログインに限り、追加の本人確認を課す。

リスクベース認証は、アクセス元の場所・端末・時刻などの文脈から普段との差異(リスク)を評価し、リスクが高いときに限って追加の本人確認を要求する。通常の利用では追加入力がなく利便性を保ちつつ、本問のような『深夜・海外・見慣れない端末』という異常なログインだけを狙って抑止でき、利便性とセキュリティを両立する。

?選択肢ごとの解説

ア ×毎回必須のワンタイムパスワードは安全だが、通常時の利便性を大きく損ない『利便性を保つ』という条件に反する。
イ ○リスクベース認証は、アクセス元の場所・端末・時刻などの文脈から普段との差異(リスク)を評価し、リスクが高いときに限って追加の本人確認を要求する。通常の利用では追加入力がなく利便性を保ちつつ、本問のような『深夜・海外・見慣れない端末』という異常なログインだけを狙って抑止でき、利便性とセキュリティを両立する。
ウ ×国単位の一律遮断は、正規利用者の海外出張時のアクセスまで阻害し利便性を損なううえ、国内からの不正には無力である。
エ ×アカウントロックは多数回の失敗を伴う総当たりには有効だが、正しい認証情報を持つ不正ログインや少数回の試行には発動せず、本問の異常検知には不十分である。

くわしく

リスクベース認証は『一律強化』ではなく『状況に応じた可変強化』である。普段の行動パターンを基準(ベースライン)として逸脱度を測り、高リスク時のみ摩擦(追加認証)を加える。利便性とセキュリティのトレードオフを動的に最適化する考え方である。

本番での押さえどころ

試験のコツ

『利便性を保ちつつ異常なログインを抑止』が条件なら、状況に応じて追加認証を出すリスクベース認証が正解。

覚え方

いつもと違う時だけ『本当にあなた?』と聞く。普段は素通り、怪しい時だけ追加チェック。

よくある誤り

安全性だけ見て『毎回必須(ア)』を選ぶと、明記された『利便性を保つ』条件を満たせない。条件の読み取りが鍵である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0066

【基本情報技術者試験】リスクベース認証の問題 — 解答・解説|ukamiru 過去問