リスクベース認証とは？利便性とセキュリティ向上を両立する認証方式の仕組みと注意点

一般的にシステムやWebサービスを使う際には、セキュリティ対策としてユーザーIDやパスワードの入力を求められます。しかし、そのようなログイン認証だけで、なりすましや不正アクセスを防ぐことは困難です。一方で、厳しすぎる認証方法はユーザーにとって不便なものにもなり得ます。

そこで取り入れられているのが、リスクベース認証です。リスクの高い場合にのみ追加の認証を求めることで、ユーザーの利便性を大きく損なわずにセキュリティを向上できます。この記事では、リスクベース認証の種類や仕組みについて、使用例やメリット・デメリットも併せて解説します。
 

■リスクベース認証とは？

リスクベース認証とは、ログイン時のユーザーの行動パターンが普段と異なる場合に、追加の認証を要求する認証方法です。ユーザーの行動パターンを分析することで、普段利用していないデバイスからのアクセスといった、普段と異なる振る舞いを検知します。

近年はクラウドサービスの普及もあって、業務でさまざまなシステムやサービスにログインする機会が増えています。重要なデータが必ずしも社内に保管されているとは限らない環境では、ユーザー認証をより強固にすることが必要です。しかし、何度もパスワードの入力を要求するといった厳しい認証方法は、ユーザーにとって煩わしいことでもあります。

そこで取り入れられているのが、リスクベース認証です。リスクベース認証では、必要に応じて認証の要求段階を変えることができ、ユーザーへの負担を抑えながらも、なりすましや不正アクセスを防止します。そのため、より安全かつ利便性を損なわない認証方法として広く利用されているのです。
 

■リスクベース認証の仕組み・種類

リスクベース認証では、まず、認証時にHTTPヘッダやCookieといったユーザー側の情報を取得します。この情報をもとにユーザーの行動パターンを分析し、通常の行動パターンであればリスクなし、通常と異なる行動パターンであればリスクありとして判断するのです。そして、リスクありの場合には追加の認証を要求することでリスクを回避します。

（認証の仕組みの画像）

リスクベース認証には、追加で行なわれる認証内容の違いから「アクティブ認証」と「パッシブ認証」という、大きく分けて2つの認証方式があります。

◇アクティブ認証

アクティブ認証は、リスクがあると判断された場合に、ユーザーに追加の操作を求める認証方式です。例えば、ワンタイムパスワードの利用や、秘密の質問への回答といった方法があります。本人による操作が必要なため、より確実にユーザーを認証できる方法です。

◇パッシブ認証

パッシブ認証とは、リスクがあると判断された場合に、ユーザーの利用環境（パソコンやIPアドレス、ブラウザなど）によって本人確認を行なう方式です。例えば、社外IPアドレスからのアクセスは許可しない、といった設定に基づき認証します。

パッシブ認証は、ユーザーの操作が不要なので利便性は損なわれませんが、必ずしもなりすましや不正アクセスを防げるとは限りません。
 

■リスクベース認証の使用例

リスクベース認証は、さまざまなシステムやサービスで使用されています。

例えば、利用する機器を管理できるような社内システムでは、ユーザーの環境情報をもとにしたパッシブ認証が用いられます。社外からのアクセスを全面的に禁止するといった方法で、セキュリティを高めるのです。

アクティブ認証の例としては、ECサイトやインターネットバンキングが挙げられます。例えばECサイトでは、SMS認証を取り入れることで、クレジットカード情報などを不正に入手したとしても、それらの情報だけでは利用できないようになっています。

金融機関のインターネットバンキングも同様です。口座情報などを不正に入手しても利用できないように、秘密の質問や合言葉などの本人しか知らない情報の入力を求めるといった形で、リスクベース認証が活用されています。

このように、ユーザーの行動や環境をきっかけにリスクを検知し、SMS認証やワンタイムパスワードの入力などを要求することで、確実に本人確認ができます。

リスクの判断に用いられるユーザー情報は、IPアドレス・位置情報・曜日・時間帯・デバイス・OS・ブラウザ・各種バージョン情報などです。ほかにも、アクセスがあった時間帯と地域から不可能な移動を検知し、リスクと判断する方法もあります。

■リスクベース認証のおもなメリット

リスクベース認証のおもなメリットを2点解説します。

◇なりすまし、不正アクセスの防止

リスクベース認証の最大のメリットは、なりすましや不正アクセスを防止できる点です。特にアクティブ認証であれば、ユーザーに追加の認証を要求するため確実にセキュリティが向上します。IDとパスワードだけでなく、アクセスしているユーザーの環境や行動を踏まえたリスク検知と追加の認証で、安全性の高い認証を実現できます。

◇ユーザーの利便性とセキュリティ向上の両立

リスクベース認証は必要に応じて追加の認証を要求するため、常に多要素認証を要求する場合に比べてユーザーの利便性を損ないません。特にパッシブ認証であればユーザーの操作は必要ないため、利便性とセキュリティ向上を両立できます。

アクティブ認証ではユーザーによる追加の操作が必要ですが、それでも出張時や端末の変更があった際など、普段と異なる環境の場合のみです。ユーザーの利便性とセキュリティ向上はトレード・オフ関係にありますが、リスクベース認証をうまく使うことで両立できるでしょう。
 

■リスクベース認証のデメリット・注意点

リスクベース認証で挙げられるおもなデメリットと注意点は、次の2点です。

◇コストがかかる

リスクベース認証を実施する際には、ユーザーの環境や行動を検知するためのシステム構築が必要です。加えて、アクティブ認証の場合は、追加の認証方式を導入するためのコストもかかります。そのため、従来のIDとパスワードのみの認証と比べて、運用や管理にコストがかかる点はデメリットといえるでしょう。

◇リカバーや管理に労力がかかる可能性がある

パッシブ認証の場合、システムが誤って認証を拒否してしまうことがあります。また、アクティブ認証の場合、追加の認証に必要な情報をユーザーが忘れてしまうとログインできません。その結果、パスワードの再発行の手続きが必要だったり、再度アカウントを作ることになったりと、さらなる手続きを求められます。

加えて、アクティブ認証における追加の認証に必要な情報は、パスワードと同様に厳重に保管する必要があります。流出すれば不正アクセスの原因になりかねないため、ユーザーにとっては追加の認証に使う情報を管理するという煩わしさもあります。

このように、リスクベース認証では、認証の失敗にともなうリカバーや、追加の認証情報の管理に労力がかかる可能性があるのです。
 

■まとめ

リスクベース認証は、ユーザーの行動パターンが普段と異なる場合に、追加の認証を要求する認証方法です。リスクベース認証には、ユーザーに追加情報を求めて確実に本人確認をするアクティブ認証と、システムで自動的に判断するパッシブ認証があります。

リスクベース認証は、必要に応じた追加認証であることから、ユーザーの利便性とセキュリティ向上を両立しやすいのがメリットです。ユーザーの利便性とセキュリティ面の兼ね合いでお悩みの方は、リスクベース認証を検討してみてはいかがでしょうか。