山脇 弘成(SSAITS代表)
PMP®有資格者・Webプロジェクトマネージャー。
大手メディアや官公庁のWebプロジェクト実績多数。
「技術」だけでなく「対話」を重視し、御社の「ほんとは、こうしたかった」を形にします。
リスクベース認証の概要
リスクベース認証とは、不正アクセスなどの可能性があった場合に、あらかじめ登録していた「秘密の質問」などを使用して、認証を行う手法です。
リスクベース認証の具体例
リスクベース認証という言葉は知らなくとも、 知らず知らずのうちにリスクベース認証を経てITサービスを受けているということは多いかもしれません。
例えば、いつも使用しているGmailを、いつもとは違うPCから操作しようとした際に、さまざまな手続きを求められたことはないでしょうか。
これがリスクベース認証です。
Gmailがいつも使用している環境を覚えており、その環境と違う環境からログインしようとしたときにリスクベース認証が働き、スマートフォンに送ったパスワードを求めてくることがあります。
IDとパスワードだけではあぶない?
オンラインショッピングからインターネット・バンキングまで、Webサービスの多くはIDとパスワードでログインし、サービスを受けることが可能です。
しかし、IDとパスワードの2つであれば、悪意のある他者がその情報を入手してしまう可能性は少なくありません。
また、そこまで難しくないID・パスワードであれば、ハッカーが総当たりで入力しているうちに突破してしまったということもあるかもしれません。
こうした最悪のケースに備えるためにリスクベース認証が必要となってきます。
秘密の質問をすることがリスクベース認証ではない
リスクベース認証の例を検索すると「秘密の質問をすること」とでてくることがよくあります。
しかし、勘違いしてはいけないのは、秘密の質問をすることがリスクベース認証ではない、ということです。
秘密の質問は、パスワードリマインダ機能、つまりよくある「パスワードを忘れた方へ」のページで使用する仮のパスワードとしても使われます。
このパスワードリマインダ機能にはリスクベース認証の機能は備わっていません。
あくまで、いつもとは違うPCやスマートフォンからWebサービスを利用したときに、追加の情報として秘密の質問を求められた場合のみ、リスクベース認証として秘密の質問が使用されていると言えるでしょう。
