リスクベース認証 りすくべーすにんしょう
簡単に言うとこんな感じ!
いつもと違う場所・端末からログインしようとしたら「ちょっと待って、本当にあなた?」って追加確認するしくみだよ。普段どおりなら普通にスルー、怪しいときだけ厳しくチェック——状況に応じて認証の厳しさを変える賢いセキュリティなんだ!
リスクベース認証とは
リスクベース認証(Risk-Based Authentication、RBA)とは、ログイン時のさまざまな状況情報(コンテキスト)をもとに「このアクセスはどのくらい怪しいか」をリアルタイムで判定し、リスクの高さに応じて認証の厳しさを動的に変える仕組みです。アダプティブ認証(Adaptive Authentication)とも呼ばれます。
たとえば、毎朝同じオフィスのPCから社内システムにログインしている人が、突然深夜に海外のIPアドレスからアクセスしようとしたら、それは明らかに「いつもと違う」。このとき、通常のパスワード認証だけでなく、SMS認証コードの入力や管理者への承認依頼などの追加ステップを求めることで、不正アクセスのリスクを大幅に下げられます。
逆にリスクが低い場合は追加認証をスキップするため、正規ユーザーの利便性を損なわずに済むのが大きな特徴です。「セキュリティと利便性はトレードオフ」と言われがちですが、リスクベース認証はその両立を目指した現代的なアプローチです。
判定のしくみ:リスクスコアとは
ログイン時に複数のコンテキスト情報を組み合わせ、「リスクスコア」として数値化します。そのスコアに応じて対応を変えるのが基本構造です。
| コンテキスト情報 | 低リスクの例 | 高リスクの例 |
|---|---|---|
| IPアドレス・国 | いつも使う国内IP | 初めての海外IP・Tor経由 |
| デバイス | 登録済みの端末 | 未登録・新しい端末 |
| 時刻・曜日 | 通常の業務時間帯 | 深夜・休日 |
| 場所(位置情報) | 通常のオフィス近辺 | 普段と大きく離れた場所 |
| ログイン頻度 | 普段と変わらない | 短時間に何度もトライ |
| 操作パターン | 通常の画面遷移 | 不自然に速い操作 |
これらを組み合わせてスコアを算出し、段階的に対応を分けます。
リスクスコア: 低 ──→ パスワードのみでOK
リスクスコア: 中 ──→ SMS・メールでワンタイムコード確認
リスクスコア: 高 ──→ 管理者承認 or アクセス拒否覚え方:「いつも・どこで・誰が・何で」
リスク判定の要素は「いつ・どこ・誰・何」と覚えると整理しやすいです。
- いつ(時刻・曜日)
- どこ(IP・位置情報・国)
- 誰(デバイス・ブラウザの特徴)
- 何で(操作パターン・アクセス先)
この4点が「普段と違う」ほどリスクスコアが上がる、というシンプルな原則です。
3段階の認証レベル
| レベル | 条件 | 求める認証 |
|---|---|---|
| Level 1(低リスク) | 既知デバイス・通常時間帯・国内IP | ID+パスワードのみ |
| Level 2(中リスク) | 新しい端末 or 時間帯が通常外 | +ワンタイムパスワード(OTP) |
| Level 3(高リスク) | 海外IP・複数回失敗・不審な操作 | +管理者承認 or ブロック |
歴史と背景
- 2000年代前半:インターネットバンキングの普及とともに、パスワード単体では不正送金を防ぎきれない事例が急増
- 2005年:米国の金融機関監督機関(FFIEC)が、オンラインバンキングに多要素認証の導入を求めるガイダンスを公表。リスクベースのアプローチが注目され始める
- 2010年代前半:GoogleやFacebookが「新しいデバイスからのログイン」を検知して追加確認する機能を導入し、一般ユーザーにも身近になる
- 2010年代後半:機械学習・AI技術の進化により、より精度の高い行動分析(ユーザー行動分析、UEBAとも呼ばれる)が可能になり、リスクスコアの精度が大幅向上
- 2020年代:ゼロトラストセキュリティの考え方が広まるなかで、リスクベース認証は「常に検証する」原則の中核技術として位置づけられるように
多要素認証との違いと関係
リスクベース認証と多要素認証(MFA:Multi-Factor Authentication)は混同されやすいですが、別の概念です。
実際にはMFAとリスクベース認証を組み合わせるのが最もよく使われるパターンです。「低リスクのときはパスワードのみ、中リスクならMFAを追加要求する」という形で、両者は補完関係にあります。
主なリスクベース認証ソリューション
| 製品・サービス | 提供元 | 特徴 |
|---|---|---|
| Azure AD(Entra ID) 条件付きアクセス | Microsoft | Microsoft 365と親和性が高い |
| Okta Adaptive MFA | Okta | 多くのSaaSと連携可能 |
| Google BeyondCorp | ゼロトラスト基盤として設計 | |
| AWS Cognito | AWS | AWSサービスとの統合が容易 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| NIST SP 800-63B | デジタルアイデンティティガイドライン。認証の保証レベル(AAL)を定義しており、リスクベース認証の根拠となる考え方を含む |
| RFC 8446(TLS 1.3) | 通信暗号化の規格。リスクベース認証と組み合わせて通信路の安全性も担保する |
| OpenID Connect(OIDC) | 認証情報の標準プロトコル。リスクベース認証の結果をトークンに含めて連携するシステムの基盤 |
| FIDO2 / WebAuthn | パスワードレス認証の規格。リスクベース認証と組み合わせてパスキー認証を条件付きで強化する |
関連用語
- 多要素認証(MFA) — パスワード以外の要素(SMS・生体認証など)を組み合わせる認証方式
- [