リスクベース認証とは

リスクベース認証とは、ネットバンキングやECサイトなど、インターネットサービスを利用する際のアカウント認証を強化する手法の一つ。利用者がアクセス(認証要求)してきたときに、「普段とは異なる行動パターン」を検知し、必要に応じて追加の認証を行うものだ。

アカウントの認証にはユーザーIDとパスワードの組み合わせが用いられることが一般的だ。しかし、パスワード認証は、パスワードが何らかの方法で外部に漏洩した場合、悪意ある第三者がそのパスワードを用い、アカウントに不正にアクセスすることが可能になる。

こうしたなりすましを防ぐため、サービス事業者側ではさまざまなアカウント強化策を提供している。その一つが2要素認証だ。これは、「ユーザーが知っていること」(知識認証)、「持っているもの」(所有物認証)、「ユーザーそのもの」(生体認証)のうち、2つの認証要素を組み合わせることで認証の強度を高めることだ。

リスクベース認証は、アクセスしてきたユーザーの利用端末やアクセス時間などの行動パターンを分析、普段とは異なるIPアドレスやOS、Webブラウザー、あるいはログインした時間や場所などが検知された場合、なりすましのリスクが高いとして、通常の認証に追加する形で別の認証を実施する仕組みだ。

過去のデータをもとに、不正ログインの可能性がある認証要求に対して追加の認証を行うため、不正アクセスのリスクに対して効果的にアカウントを保護することができる。また、基本的にサービス事業者(システム)側で認証を行うため、ユーザー側で機器購入などの負担が少なく、一定の利便性を保つことができる点も大きなメリットだ。

セキュリティ用語辞典一覧ページへ

関連キーワード:

2要素認証

ECサイト

ID

IPアドレス

OS

Webブラウザー

なりすまし

アカウント

インターネット

システム

ネットバンキング

パスワード

パスワード認証

リスク

ログイン

不正アクセス

不正ログイン

生体認証

認証