【認証の基本①】今さら聞けない！　事業者がログインページに導入する“リスクベース認証”とは？

1．狙われるID・パスワード

病院やレストランの予約から会員カードの提示、ネットバンキングやオンラインショッピング、フリーメール、クラウドサービスの利用にいたるまで、現在私たちはサービスを利用するために、１日何度も“ログイン”という行為を繰り返します。

最も一般的に用いられるのはIDとパスワードの組み合わせで、ほとんどのネットサービスにおいて登録の際に設定が求められます。個人ユーザーにとってサービスの数だけID・パスワードの管理を行うことは難しく、結果多くのユーザーがいくつかのID・パスワードの組み合わせを“使い回す”という結果になっています[1]。そしてそうしたIDやパスワードの情報を盗み出すフィッシングやマルウェアが横行し、不正に取得したID・パスワードの利用による不正ログインやリスト型攻撃も後を絶ちません。

こうして不正に取得されたIDやパスワードを使ったなりすましや乗っ取り等のサイバー犯罪に対抗するため、認証技術も高度化。金融機関など高いセキュリティが求められる現場を中心に、乱数表やマトリックス／ワンタイムパスワードを使った多要素認証や、指紋や静脈などによる生体認証など安全性の高い認証方法が次々と採用されています。

2．ユーザビリティと安全性を両立する“リスクベース認証”

しかし概ね、安全性の高い認証方法ほど、事業者の導入やユーザーの利用においてもコストや手間がかかります。オンラインショップやフリーメール、情報サイトなど、日常的に気軽にアクセスするサイトにおいて、複数の工程を必要とする認証や、トークンや携帯など別デバイスを必要とする認証を求められることは、ユーザーにとって煩雑です。事業者にとっては、ユーザビリティを損ないビジネスチャンスを失ってしまうリスクもあります。

そこで注目されるのが、“リスクベース認証”です。それぞれのログイン試行における“リスク判定結果”の度合に応じて、追加の認証をはじめとする安全措置を実施する手法です。
認証におけるリスクがあるかどうかの判断には“本人らしさ”が基準とされます。つまり、その人がそのサービスを利用する時の環境やパターン（位置情報や時間帯、デバイス、OS、ブラウザetc.）を学習し、本人かどうかを判断するわけです。

例えば、普段は東京からMacintoshを使って昼間にログインする人が、大阪からWindowsを使って夜間にログインしようとすれば、本人でない確率が高いと判定されます。出張や旅行先などで、ログインの際に通常と異なる認証が求められた経験をお持ちの方も多いと思います。そのようなサービスでは普段意識をしていなくても、裏ではログインごとにリスクベース認証が行われている可能性が高いのです。

リスクベース認証は、このようにリスクの有無を判断し、リスクのある場合にのみ追加認証等の追加措置を実施する方法のことで、生体認証やワンタイムパスワードのように認証を行う手段自体を指すものではありません。追加認証の方法としては、アカウント登録時に設定したいわゆる“秘密の質問”への回答であったり、登録アドレスに送付されたユニークのURLをクリックすることであったり、携帯に送付された認証コードを入力することであったりとさまざまです。利用環境などから本人らしさを特定するという点では、コンテキストベース（認証）やライフスタイル認証と呼ばれるものへの応用も今後期待されます。

リスクベース認証は、毎回ユーザーに必要以上の手間をかけることなく、リスクがあると判断した時にだけ追加の認証を求めるため、ユーザビリティを損ねることなく高い安全性を確保します。ネットサービスが乱立しサイバー攻撃が巧妙化を続ける中、ユーザー側だけに100パーセント安全なID・パスワード管理を求めることは難しく、事業者にも自社のログインサイトを守る取り組みが求められています。

（文／星野みゆき　画像／© filistimlyanin1 – Fotolia）

参考:
[1] トレンドマイクロ. (2017). －パスワードの利用実態調査 2017－パスワードを使いまわしている利用者が8割以上
https://www.trendmicro.com/ja_jp/about/press-release/2017/pr-20171005-01.html