応用情報技術者試験令和3年春午前問39 解説付き過去問

問題

リスクベース認証の特徴はどれか。

いかなる利用条件でのアクセスの要求においても、ハードウェアトークンとパスワードを併用するなど、常に二つの認証方式を併用することによって、不正アクセスに対する安全性を高める。

いかなる利用条件でのアクセスの要求においても認証方法を変更せずに、同一の手順によって普段どおりにシステムにアクセスできるようにし、可用性を高める。

普段と異なる利用条件でのアクセスと判断した場合には、追加の本人認証をすることによって、不正アクセスに対する安全性を高める。

利用者が認証情報を忘れ、かつ、Webブラウザに保存しているパスワード情報も使用できないリスクを想定して、緊急と判断した場合には、認証情報を入力せずに、利用者は普段どおりにシステムを利用できるようにし、可用性を高める。

この問題は、リスクベース認証（RBA）の特徴について問うものです。リスクベース認証は、利用者の行動や環境が普段と異なる場合に追加の認証ステップを要求することで、セキュリティを強化する認証方式です。

リスクベース認証（RBA）の基本概念
リスクベース認証は、ユーザーのログイン行動が通常のパターンから逸脱しているかどうかを検出し、リスクが高いと判断された場合には追加の認証手段を求めます。例えば、異常な時間帯のログイン試行や地理的に異常な場所からのアクセスが該当します。
リスクベース認証の動作メカニズム
リスクベース認証システムは、利用者のアクセス履歴、デバイス情報、IPアドレスなど多岐にわたるデータを分析します。これにより、通常と異なるアクセスパターンを検出した際には、例えばSMSを通じたワンタイムパスワードの送信など、追加のセキュリティ層を導入することが可能です。

したがって、正解は「普段と異なる利用条件でのアクセスと判断した場合には、追加の本人認証をすることによって、不正アクセスに対する安全性を高める」となります。この選択肢はリスクベース認証の核心的な特徴である、状況に応じたセキュリティ強化のアプローチを正確に説明しています。