「いつもと違う」と判断されたときだけ強固になる！

普段はパスワードだけなのに今日に限って――「リスクベース認証」ってなに？

普段はパスワードオンリーなのに突然、二要素認証を求められた……これって？

別名・危なそうなときだけ認証!?

Ｑ：「リスクベース認証」ってなに？

Ａ：ユーザーがサービスやシステムなどにログインする際、それが通常のログイン操作によるものかどうかを評価し、「リスクが高い」と判断された場合には追加のセキュリティ対策を講じる認証方法。

　リスク評価は、ユーザーが認証されたデバイスを使用しているか否かを判断するほか、ログイン時のIPアドレスが異なる地域や国でないかを確認。さらにログイン時刻が通常と異なる時間ではないか、短時間で繰り返しログイン試行していないか、といったことを確認する。

　これらの要素を元にしてリスクスコアを算出し、スコアが高い場合には追加の認証ステップが発生する。追加の認証ステップには「二要素認証（2FA）」、事前に登録した「秘密の質問」の確認、mailやSMSへの認証コード送信などが実施される。

　このリスクベース認証を採用することで、もちろん不正アクセスやアカウント乗っ取りのリスクを軽減できるが、リスクが低い場合は無駄な認証の手間を省いてログインできるという、正規ユーザーに対するメリットも生じることとなる。

　現在、セキュリティと利便性のバランスを取りながらユーザーおよびサービス、システムを保護する技術として採用が進んでいる。