(応用情報)リスクベースとは？

✅応用情報技術者平成31年春期 午前問37

リスクベース認証の特徴はどれか？

①
いかなる環境からの認証の要求においても認証方法を変更せずに、
同一の手順によって普段通りにシステムが利用できる。

②
ハードウェアトークンとパスワードを併用させるなど、認証要求元の環境によらず
常に二つの認証方式を併用することによって、安全性を高める。

③
普段と異なる環境からのアクセスと判断した場合、追加の本人認証をすることによって、
不正アクセスに対抗し安全性を高める。

④
利用者が認証情報を忘れ、かつ、Webブラウザに保存しているパスワード情報も
利用できない場合でも、救済することによって、利用者は普段通りにシステムを利用できる。

まず最初に、正解は③です！！

①はRADIUS認証、②は二要素認証、④はパスワードリマインダの説明です。

となりましたため、
「リスクベース」と「RADIUS認証」について調べてみました！！

リスクベース

まずは問の内容の「リスクベース」から

と考えて①を選び、不正解でした。

リスクベース認証(Risk-Based Authentication, RBA)とは、
その認証プロセスが「リスク」に基づいて行われるという特徴から来ています。
この認証方法では、ログイン試行の際にリアルタイムでセッションのリスクレベルを評価し、そのリスクレベルに応じて認証要求の強度を調整します。
つまり、アクセスしようとするユーザーの行動や環境に関連するリスクを基にして、
セキュリティ上の対応を変化させます。
ユーザーの行動や環境に関連するリスクとは、
・ログインする地理的位置
・使用されているデバイスの種類
・IPアドレス
・アクセス時間
・以前のユーザー行動パターン
などが含まれます。リスク評価プロセスによって、正規のユーザーからの
安全なアクセス試行と、不正アクセスの可能性が高い試行とを区別することができます。

RADIUS認証

RADIUS(Remote Authentication Dial In User Service)認証は、
リモートユーザーの認証、承認、アカウンティング(※AAA)サービスを提供するための
ネットワークプロトコルです。
VPN接続、無線LANアクセスポイント、VoIPシステムなど、
さまざまなタイプのネットワークアクセス制御に利用されています。
セキュリティの強化、中央集権的なユーザー管理、アクセスログの保持などの利点から、
多くの企業や組織で採用されています。

(認証の仕組みなどは複雑であったため試験レベルのざっくりした記述をします)
認証方法
ユーザー ⇄ RADIUSクライアント ⇄ RADIUSサーバー
①ユーザーがRADIUSクライアントに対して認証情報(IDやパスワード)を送信
②RADIUSクライアントはその認証情報をRADIUSサーバーへ転送
③RADIUSサーバーは受け取った認証情報をユーザーデータベースと照合し、
　ログイン可否をRADIUSクライアントへ送信。
　可であればログイン成功となります。

セキュリティ強固の理由
①ユーザー認証をRADIUSサーバーで一元管理するため、
　認証情報の不整合や管理ミスを減らすことができます
②RADIUSプロトコルによって認証情報を暗号化し盗聴等のリスクを減らすことができます
③ユーザーやデバイスに対するアクセスポリシー(アクセス権限等)を
　制御する機能を提供してくれます
④RADIUSサーバーはアクセスログを詳細に記録するため、
　セキュリティ監査やコンプライアンスの要件を満たすのに役立ちます。
⑤RADIUSは様々なネットワークデバイスやサービスと統合できるため、
　拡張性と柔軟性に長けています。

※AAA(Authentication(認証),Authorization(認可),Accounting(アカウンティング)の略称

まとめ

「リスクベース」とは「リスク」を「ベース」にした認証方式のことです！

例えば「違う端末からログインを試みているぞ？」といった際に、

ログインの手間が少し増える認証方式ですね。

私の場合はPCでGmailを開こうとして携帯で「このログイン要求はあなたですか？」

ときかれることを思い出しました。

だれかの理解の一助になっていれば幸いです、最後までありがとうございました！！