問題
問71
インターネットバンキングなどのWebサイトで利用されているリスクベース認証の例として、適切なものはどれか。
- 利用者がいつもログインに使っているPCとは異なるPCからのログインであったので、本人しか知らない秘密の質問による追加の認証を行った。
- 利用者がログインした後、画面操作が一定時間なかったので、自動的にログアウトして、再度ログインを求めた。
- 利用者がログインするときにパスワードを連続して複数回間違って入力したので、アカウントをロックした。
- 利用者がログインに使っているパスワードが長期間変更されていなかったので、パスワードの変更を促した。
[出典:ITパスポート試験 令和8年度 問71]
正解
正解は「ア」です。
解説
リスクベース認証とは、普段の利用環境とは異なる状況(いつもと違う場所、端末、OS、ブラウザなど)でのログインを「リスクが高い」とシステムが判断し、追加で認証を求めるセキュリティの仕組みです。
例えば、いつもは東京の自宅のPCからログインしている人が、突然海外のネットカフェや初めて使うスマートフォンからログインしようとした場合、「本当に本人かな?」とシステムが疑い、普段のパスワードに加えて「秘密の質問」や「ワンタイムパスワード」などの追加確認を行います。正解の選択肢アでは、普段と異なるPCからのアクセスを検知して追加認証を行っており、まさにこのリスクベース認証の典型的な動作を説明しています。
身近な例で言えば、銀行の窓口で多額の現金を引き出そうとすると本人確認が厳重になるように、状況に応じてセキュリティの強度を柔軟に変える賢い仕組みと言えます。これにより、普段の使い勝手を損なうことなく、なりすましなどの不正アクセスを効果的に防ぐことができるようになっています。
イ(利用者がログインした後、画面操作が一定時間なかったので、自動的にログアウトして…):
これは「セッションタイムアウト」と呼ばれる機能です。利用者が席を離れた際などの不正操作を防ぐための対策であり、ログイン時のリスク判断を行うものではありません。
ウ(利用者がログインするときにパスワードを連続して複数回間違って入力したので、アカウントを…):
これは「アカウントロック」と呼ばれる機能です。パスワードを総当たりで試す攻撃(ブルートフォース攻撃など)を防ぐための対策であり、接続環境によるリスク判断ではありません。
エ(利用者がログインに使っているパスワードが長期間変更されていなかったので…):
これはパスワードの運用管理上の対策です。長期間同じパスワードを使い続けることによる漏洩リスクを下げるための促しであり、リスクベース認証のような動的な判定とは異なります。
難易度
リスクベースという言葉を「リスク(危険)に基づいた」と直訳的に捉えれば、選択肢の中から「いつもと違う=リスクがある」という状況を示しているアを正解として選びやすいでしょう。最近ではSNSや銀行アプリなどで、新しい端末からログインした際に通知や追加認証が来る仕組みが一般的になっているため、自身の経験と照らし合わせると非常にイメージしやすい問題と言えます。
用語補足
リスクベース認証:
普段とは異なる環境からのアクセスを検知した際に、追加の認証を求める仕組みです。例えば、旅行先で初めてのWi-Fiを使ってログインしようとした時に、登録メールに確認コードが送られてくるような仕組みが該当します。
セッションタイムアウト:
ログイン後の操作が一定時間途絶えた場合に、安全のために接続を強制的に切断する仕組みです。ネットバンキングなどで、画面を開いたまま放置してしまった際に「自動的にログアウトしました」と表示されるのがこの機能です。
アカウントロック:
パスワードを一定回数以上間違えた際に、一時的にログインを禁止する機能です。スマートフォンの画面ロックを何度も間違えると、しばらく操作できなくなる状態がこれに近い身近な例です。
多要素認証:
パスワード(知識)だけでなく、スマホに届くコード(所有)や指紋(生体)など、2つ以上の異なる要素を組み合わせて本人確認を行うことです。リスクベース認証で追加される「秘密の質問」などもこの一環として機能します。
対策
この問題を解くポイントは、「リスクベース」という言葉が「普段の行動パターンから外れたリスク」を指していると理解することです。「いつもと違う」というキーワードに注目しましょう。また、他の選択肢にある「アカウントロック」や「タイムアウト」といった基本的なセキュリティ用語との違いを整理しておくことも大切です。それぞれの目的が「誰から、何を守るためのものか」を意識して学習しましょう。
