この記事をシェア
記事の内容
BtoBサービスにおいて、情報資産を守るセキュリティ対策は極めて重要です。しかし、セキュリティを強化するほどユーザーの利便性が損なわれるというジレンマが存在します。
この課題を解決する手法が「リスクベース認証」です。
今回は、リスクベース認証の基本的な仕組みから、ビジネスにもたらすメリット、具体的な活用例までを解説します。
リスクベース認証とは?
リスクベース認証とは、ユーザーのログイン環境や利用状況をリアルタイムで分析し、そのアクセスに伴うリスクを評価して、認証方法を動的に変更する仕組みのことです。
普段と異なる環境からのアクセスなど、不正アクセスの疑いがある「リスクが高い」と判断された場合にのみ、ワンタイムパスワードや生体認証といった追加の認証を要求します。
一方で、いつも通りの安全なアクセスと判断されれば、IDとパスワードのみでログインできます。
これにより、セキュリティレベルを維持しながら、ユーザーの利便性を両立させることが可能です。
リスクベース認証と多要素認証(MFA)の根本的な違い
リスクベース認証と多要素認証(MFA)は、認証を強化する点では共通していますが、そのアプローチが異なります。
多要素認証は、知識情報、所持情報、生体情報のうち2つ以上を組み合わせて「常に」複数の認証をユーザーに要求します。
例えば、IDとパスワードの入力後に、スマートフォンアプリへ送られるワンタイムパスワードの入力を求めるのが一般的です。
一方、リスクベース認証はアクセス状況を評価し、「リスクが高いと判断された時だけ」追加認証を要求します。
毎回の手間が発生する多要素認証に比べ、リスクベース認証はユーザーの負担を最小限に抑える動的な認証方式といえます。
リスクベース認証はどのように不正を検知する?
リスクベース認証の仕組みは、ユーザーのアクセスに関する多様な要素を収集し、それらを総合的に分析してリスクを判定する方法に基づいています。
具体的には、アクセス元のIPアドレス、使用されているデバイス情報、時間帯や場所、さらには過去の操作パターンといった複数の情報を事前に記録しておきます。
そして、ログイン試行があるたびに、現在のアクセス情報と記録済みのプロファイルを比較します。
この比較によって大きな差異が検知された場合、第三者による不正アクセスの可能性が高いと判断し、追加認証を発動させるのが基本的な仕組みです。
リスク判定に用いる要素の種類はソリューションによって異なります。
いつもと違う「IPアドレス」からのアクセス
IPアドレスは、リスク判定における重要な要素の一つです。
システムはユーザーの過去のログイン履歴から、通常利用する国や地域、ネットワークプロバイダに関連付けられたIPアドレスを学習します。
例えば、普段は日本国内からアクセスしているユーザーが、突然海外のIPアドレスからログインを試みた場合、システムはこれを「いつもと違うアクセス」として検知します。
海外出張などの正当な理由も考えられるため、IPアドレスの情報だけで即座にアクセスをブロックするわけではなく、他の要素と組み合わせて総合的にリスクを判断します。
未登録の「デバイス」からのログイン
ユーザーがサービスにアクセスする際に使用するパソコンやスマートフォン、タブレットといったデバイス情報もリスク判定に活用されます。
初回ログイン時にOSの種類やバージョン、Webブラウザの情報などを記録し、これを「信頼できるデバイス」として設定します。
以降のログインで、この登録済みリストにない未登録のデバイスからアクセスがあった場合、アカウント乗っ取りのリスクがあると判断し、追加認証を要求することがあります。
これにより、仮にIDとパスワードが漏洩しても、攻撃者が普段使わない端末からのログインを試みた際に不正を防ぐことが可能です。
不審な「時間帯や場所」からの利用
多くのユーザーは、特定の曜日や時間帯にサービスを利用する傾向があります。
例えば、企業の業務システムであれば、平日の勤務時間内に日本国内からアクセスされるのが一般的です。
もし、このようなシステムに対して深夜や早朝、あるいは業務拠点のない海外からアクセスがあった場合、システムはこれを不審な利用と判断します。
また、物理的に移動が不可能な短時間のうちに、地理的に離れた2地点からアクセスがあった場合も、不正アクセスの兆候として検知の対象となります。
ユーザーの「普段の操作パターン」との差異
より高度なリスクベース認証では、ユーザー個人の行動パターンを分析する「ユーザー行動分析」の技術が用いられます。
これには、マウスの動かし方の癖、キーボードのタイピング速度、クリックする場所の傾向、サービス内での画面遷移の順序といった、その人固有の操作パターンが含まれます。
システムはこれらの行動データを機械学習によってモデル化し、ログイン試行時の操作がそのモデルから大きく逸脱していないかを監視します。
もし、操作パターンに著しい差異が見られた場合は、本人ではない第三者が操作している可能性が高いと判断します。
リスクベース認証を導入する3つのメリット
リスクベース認証の導入は、企業とユーザーの双方に大きなメリットをもたらします。最大の利点は、強固なセキュリティと高い利便性を両立できる点にあります。
従来の認証方法が抱えていた「セキュリティを固めるとユーザーが不便になる」という課題を解消し、より現実的で効果的な不正アクセス対策を実現します。
リスクベース認証のメリットを具体的に理解することで、自社サービスへの導入価値を正しく評価できるでしょう。
ユーザーの利便性を損なわずにセキュリティを強化できる
最大のメリットは、ユーザーの利便性(UX)をほとんど低下させることなく、セキュリティレベルを向上させられる点です。ほとんどの正規ユーザーは、普段通りの環境からアクセスするため、リスクは「低い」と判定されます。
その結果、IDとパスワードの入力だけでログインが完了し、追加認証のステップを求められることはありません。
これにより、ユーザーは認証プロセスでストレスを感じることなく、サービスを快適に利用し続けられます。セキュリティ強化のために毎回多要素認証を行ったり、アクセスを特定のIPに制限するなど、ユーザーに負担を強いる必要がなくなります。
不正アクセスの試みを早期に検知し遮断できる
リスクベース認証は、不正アクセスの兆候をリアルタイムで検知し、被害が発生する前にアクセスを阻止することができます。
攻撃者は、盗み出した認証情報を使って海外のサーバー経由でログインを試みたり、プログラムを使って短時間に何度もアクセスを繰り返したりすることがあります。
こうした非典型的な振る舞いは、システムによって自動的に高リスクと判定されます。
その結果、追加認証が要求されたり、アカウントが一時的にロックされたりするため、攻撃者は侵入を断念せざるを得なくなります。
ログイン時のユーザーの手間を最小限に抑えられる
多くのオンラインサービスでは、セキュリティ対策として多要素認証が導入されていますが、毎回追加の操作が必要になるため、ユーザーにとっては手間となります。
リスクベース認証を導入すれば、普段通りの安全なアクセスと判断される限り、ユーザーは追加の認証操作から解放されます。認証の手間が削減されることで、ログインプロセスがスムーズになり、サービスの利用率の向上にも貢献します。
セキュリティはバックグラウンドでシステムが担保し、ユーザーは意識することなく安全な環境を利用できます。
身近なサービスに使われているリスクベース認証の活用事例
リスクベース認証は、すでに私たちの身近な多くのサービスで活用されています。
例えば、オンラインバンキングや証券会社のサイトでは、普段と違うPCやネットワークからログインしようとすると、「秘密の質問」への回答やメールで送られる認証コードの入力が求められることがあります。これはリスクベース認証の一例です。
また、クレジットカード決済の本人認証サービス「3Dセキュア2.0」も、決済情報や利用環境を基にリスクを判定し、高リスクの場合のみ追加認証を要求する仕組みを取り入れています。
OktaなどのID管理ソリューション(IDaaS)も、標準機能として高度なリスクベース認証を提供しており、多くの企業で導入が進んでいます。
法人向け名刺管理サービス「ネクスタ・メイシ」でも活用
企業の重要資産である顧客情報を扱う名刺管理サービスにおいても、リスクベース認証は不可欠な機能となっています。
ネクスタ・メイシでは、セキュリティ強化の一環としてリスクベース認証を導入しています。
- 社外や通常と異なるデバイスからのアクセス: テレワークや外出先など、普段とは異なる環境からログインを試みた場合には、システムがリスクを検知して追加認証を要求します。
- 利便性の維持: 一方で、社内ネットワークなどの信頼できる環境からのアクセスであれば、余計な手間をかけずにスムーズに業務を開始できます。
名刺データや顧客データという機密性の高い情報を守りつつ、現場の社員がストレスなく利用できる環境の提供を目指しています。
まとめ
リスクベース認証は、ユーザーのアクセス状況を分析し、リスクに応じて認証レベルを動的に変更するセキュリティ手法です。
この仕組みにより、不正アクセスのリスクが高い通信に対しては追加認証を要求し、安全と判断されるアクセスではユーザーに負担をかけないスムーズなログインを提供します。
セキュリティ強化とユーザーの利便性向上を両立できるため、特に顧客満足度が事業に直結するBtoBサービスにおいて有効な対策となります。多様化するサイバー攻撃からユーザーとサービスを守るため、導入を検討する価値は非常に高いといえます。
