令和8年度 ITパスポート試験 公開問題 問71 解説 リスクベース認証

リスクベース認証の判断ポイント

この問題の正解を見つけるためのキーワードは、アクセス環境の「いつもと違う」という判断です。リスクベース認証とは、あらかじめ登録された利用者のログイン環境（端末、IPアドレス、時間帯など）をサーバー側で記憶しておき、普段とは異なる状況からのログインを検知したときにだけ、追加の認証を要求する仕組みです。

選択肢アは「普段使っているPCとは異なる」という状況をシステムが検知し、安全のために追加認証を行っているため、リスクベース認証の定義と合致しています。

リスクベース認証の仕組みと目的

インターネットバンキングなどのWebサービスにおいて、セキュリティ強度と利便性は常にトレードオフの関係にあります。すべてのログインに対して毎回厳しい認証を求めると、利用者の手間が増えて利便性が損なわれます。逆に、認証を簡易化しすぎると、パスワードが流出した際に第三者に不正ログインされるリスクが高まります。

リスクベース認証は、このバランスを解決する手法です。具体的には以下のような流れで処理されます。

1. 通常時：普段の端末からのアクセスであれば、パスワードのみのログインを許可して利便性を確保する。
2. 異常検知時：海外からのアクセス、普段と異なるIPアドレスや端末からのログインなど、リスクが高いと判断された場合に「秘密の質問」や「ワンタイムパスワード」などの追加認証を求める。

これにより、普段利用する正当なユーザーには快適な利用体験を提供しつつ、攻撃者によるなりすましアクセスを防ぐことができます。

他の選択肢がリスクベース認証ではない理由

リスクベース認証を正しく理解するために、他の選択肢が何を指しているのかを確認しましょう。

・イ（タイムアウト処理）：セキュリティ上の理由でログイン状態を無効にする機能です。離席時などの不正利用を防ぎますが、リスクの度合いを判断して認証を変えるものではありません。 ・ウ（アカウントロック）：誤ったパスワード入力が連続した場合に、そのアカウントを一時的に停止する機能です。総当たり攻撃（ブルートフォース攻撃）を防ぐための基本的なセキュリティ対策ですが、ログイン環境による判断とは異なります。 ・エ（パスワード変更の強制）：定期的なパスワード変更や、古いパスワードの利用を制限する機能です。これは認証の仕組みそのものではなく、パスワード管理の運用ルールの一環です。

これらの機能はどれも重要なセキュリティ対策ですが、リスクベース認証とは目的や判断基準が異なります。ITパスポート試験では、それぞれのセキュリティ機能が「どのタイミングで」「何を基準にして」作動するのかを整理しておくと、迷わず回答できるようになります。

参考リンク

• リスクベース認証とは？仕組みやメリット・デメリットをわかりやすく解説
• 安全なWebサイト運営のためのセキュリティ対策（IPA 情報処理推進機構）
• 認証（Authentication）の定義（総務省 国民のための情報セキュリティサイト）