はじめに
まだ以下の記事をお読みいただいていない方は、本稿より先にそちらをお読みください。
インターネット上のサービスを利用するにあたり、自分が利用しているサービスを第三者に不正ログインや不正利用されないようにすることが重要です。そのために様々な認証方式(多要素認証、リスクベース認証等)がサービス側から提供されており、利用者側はそれらを正しく理解して利用することが望まれます。
リスクベース認証とは
インターネット上のサービスを利用するために、まずはサービスの自身のアカウントにID やパスワード等を用いてログインします。この時に、ID やパスワードが第三者に漏れてしまうと、その情報を使って自身のアカウントに不正ログインされ、なりすまされてしまう恐れがあります。
そこで、第三者(もしくは利用者本人)が正規の利用者になりすましている可能性を考慮し、必要に応じて追加で認証を行う方式がリスクベース認証です。追加で認証を行うかどうかの判断基準として、利用者の使用している端末のOS、IP アドレス、ブラウザ等の情報がいつもと異なっていないかを確認する方式等があります。いつもと利用環境が異なる場合に追加の認証で本人確認をするやり方です。
どのように追加の認証を行うか
追加の認証として使われるものは様々ですが、例えばあらかじめ「秘密の質問」や「合言葉」を登録しておき、リスクベース認証を行う場合にはサービス側が各利用者に対してそれらの情報入力を要求する方式があります。
それ以外にも、あらかじめ登録しているメールアドレスにワンタイムパスワードを送信し、その情報を入力させてリスクベース認証を行うことで、多要素認証の要件も満たす方式もあります。
どのようにリスクベース認証を実装するかについては各サービスの方針によって様々です。一例として、現在インターネットバンキング等で良く使われている方式は「秘密の質問」や「合言葉」等です。
リスクベース認証のメリット・デメリット
リスクベース認証は、利用者がいつもと同じ環境(IP アドレスや使用する端末、ブラウザ等)からサービスを利用する場合は追加の認証が発生しないため、利用者に負担をかけずにセキュリティを高めることができます。
その一方で、利用者のネットワーク環境や使用する端末等が日々異なるような場合は、都度リスクベース認証が発生し、負担が大きくなることも考えられます。
サービスによっては信頼できる端末(自分が利用する端末)を複数登録することができる場合もあるので、仕様を理解して適切に利用しましょう。
