リスクベース認証 【risk-based authentication】 アダプティブ多要素認証 / adaptive MFA

概要

一般的なユーザー認証では、ID（アカウント名などの識別名）とパスワードを入力し、システム側に登録されたものに一致すれば本人であると認めるパスワード認証が用いられることが多い。この方式では本人以外がIDとパスワードを入手し、本人になりすましてログインする被害が問題となる。

リスクベース認証では、一般的な認証方式によるログインを許可するが、その際に利用者の使用している端末の情報やアクセス元のIPアドレス、位置情報、曜日や時間帯などの行動パターンを記録する。認証時これらの情報を過去の行動履歴に照らし合わせ、普段のパターンから著しく外れた不審な相手に対しては、パスワードが合致していてもなりすましを疑い追加の認証を要求する。

追加の認証方式はシステムへの利用者登録時などにパスワードとは別に用意しておく必要がある。一般的には、いわゆる「秘密の質問」（本人しか知らないプライベートな事柄に関する質問と回答をシステム登録しておく）や、SMSや暗号表、専用の装置によるワンタイムパスワード（OTP）の生成と入力が利用されることが多い。

利用者は普段の行動パターンに沿ってシステムを利用する限り単純なパスワード認証しか必要なく、ログイン時に必ず二段階認証を求める方式より負担感を減らすことができる。攻撃者はパスワードなどの奪取に成功しても端末の識別情報や位置情報、利用時間帯などまで含めて偽装しなければならず、効果的になりすまし被害を防止することができる。