• 認証
  • ネット時代に欠かせないセキュリティ技術 リスクベース認証とは?

ネット時代に欠かせないセキュリティ技術
リスクベース認証とは?

Webサービスの発展に伴い、考えなければならないのがセキュリティ対策。銀行の振込や買い物、株の売り買いまで、インターネット上であらゆることが完結出来ることは便利な反面、セキュリティの脆弱性を突かれた「なりすまし」や「不正アクセス」といった被害も増えています。そこで今回は、セキュリティを高める上で推奨されているリスクベース認証についてご紹介します。

過去のデータから導き出す精度の高い認証方法・リスクベース認証

あるサービスに会員登録をする際、「母親の旧姓は?」「あなたが卒業した小学校の名前は?」といった類いの質問を入力したことのある方は多いのではないでしょうか。しかし、実際にログインするときに、設定した質問を聞かれることはほとんどありません。なぜなら、この質問は、IPアドレスやアクセス時間、アクセスしている場所といったユーザーのアクセス情報をもとに、システムが本人確認を必要だと判断した場合に聞かれる質問だからです。たとえば、いつも東京からアクセスしている人が、突然海外からアクセスした場合、不正ログインの可能性があると判断され、追加の本人確認がなされます。このように、普段から監視カメラのようにログイン情報をチェックし、不正ログインの可能性があるときにだけ追加の本人確認を求めるシステムをリスクベース認証といいます。

認証の種類は大きく2種類

そもそも認証には、アクティブ認証とパッシブ認証というふたつの方法があります。 アクティブ認証とは、アクセスするユーザーに何かしら操作を行ってもらい、それが不正アクセスではないかを確認する方法です。たとえば、ワンタイムパスワード認証やUSBトークンによる認証などがこれにあたります。アクティブ認証は、本人にしかできない操作を要求するため、認証精度が非常に高くなりますが、ユーザーの利便性が落ちるという欠点があります。それに対し、パッシブ認証とは、ユーザーが特別に操作をしなくても行える認証のことです。パッシブ認証の代表例は、先に述べたリスクベース認証であり、過去のアクセスログなどのデータを基に認証を行います。またパッシブ認証は基本的にシステムが自動で認証を行うため、ユーザーへの負担が少ないのがメリットです。

アクティブ認証とパッシブ認証はどう使い分けるべきか?

アクティブ認証とパッシブ認証のどちらを導入するほうが適切なのかは、利用状況によって異なります。たとえばお金の振込のように金銭にかかわる操作には、正確性が高いアクティブ認証がより適切だと考えられます。一方、会員ページにログインするような操作には、アクティブ認証はあまり向いていません。ログインしたいだけのユーザーに、毎回アクティブ認証でワンタイムパスワードを求めてしまうと、煩わしいと感じる人がいるかもしれないからです。このようなサービスにはパッシブ認証がより適切だと考えられます。このように状況によって、適切な認証方法は異なります。

そこでユーザーの状況に合わせた認証方法を提供しているのがEntrustのIdentity Guardです。Identity Guardは複数の認証方法から目的にあった方法を組み合わせて使用することのできるプラットフォームです。特徴として、それぞれに最適な認証を自由に組み合わせられることと、セキュリティ技術の高さが挙げられます。アメリカの権威あるSC MAGAZINE Awardに4年連続でノミネートされ、専門家からも高い評価を受けているセキュリティ技術を導入しているので、安心して導入することが可能です。

インターネット全盛の現代において、しっかりとしたセキュリティ対策を取り入れ、ユーザーの信用を得ることは、今後ますます重要になっていくでしょう。もし、自社のサービスにどのような認証システムを導入すればいいのか迷ったときは、ぜひお気軽にご相談ください。

エントラストの提供する認証強化ソリューションの一覧はこちら⇒

無料相談・お問い合わせ