リスクベース認証とは?|概要やメリットについて解説

テレワークの普及に伴って、昨今、企業のITシステムへの不正アクセスが増加しています。その対策の1つとして、認証を強化するリスクベース認証(Azure ADでは条件付きアクセスと呼ばれています。)があります。本記事では、リスクベース認証の概要と仕組み、そのメリットやデメリットについてご説明します。

リスクベース認証とは?

「リスクベース認証」は、サービスにログインする際に様々な情報(後述)を収集し、リスクがあると判定されたときのみ、追加で認証(秘密の質問やワンタイムパスワード、SMS認証など)を要求する方式のことを指します。

一般的なWebサービスは、認証時にIDとパスワードを入力します。しかし、IDとパスワードが外部に漏洩していた場合、悪意のある人がなりすまして、不正にアクセスできてしまいます。
なりすまし対策として、多段階認証や多要素認証の方法がありますが、認証の回数を増やすことはユーザーの利便性を下げてしまい、負担となってしまいます。 そこで、ユーザーの負担軽減とセキュリティ強化のバランスをとったものが、リスクベース認証になります。

多要素認証の詳細はこちらの記事をご覧ください。
「多要素認証(MFA)とは|メリット、デメリットについて解説」

Microsoft Entra ID(旧AzureAD)におけるリスクベース認証について

Microsoft Entra ID(旧AzureAD)では、「条件付きアクセス」という名称で、リスクベース認証が実装されています。機能としては、リスクベース認証と同一のものになります。さらに、Microsoft Entra ID(旧AzureAD)Premium P2では、リスクベースの条件付きアクセス機能が付属しており、より高度なリスクベース認証が利用できるようになっています。

Microsoft Entra ID(旧AzureAD)のプランごとに利用できる機能については、こちらの記事をご覧ください。
「Microsoft Entra ID(旧Azure AD)のプランを比較!詳しい機能なども併せて解説」

リスクベース認証が収集するデータとは

リスクベース認証で、リスクがあるかを判定するデータ・情報は、主に以下のものが該当します。

1.IPアドレス

アクセス元のIPアドレスを判定しています。社内ネットワークやテレワーク環境以外のIPアドレスのとき、リスクがあると判定されます。

2.位置情報

GPSやIPアドレスから、アクセス元の地域を判別します。普段アクセスする国・地域以外からのアクセスの場合、リスクがあると判定されます。

3.時間帯・曜日

サービスを常用する時間帯や曜日などを収集し、それをもとに判定しています。例えば、平日の日中にしか使用されないシステムに、休日ログインしようとすると、リスクがあると判定されます。

4.デバイス

サービスにアクセスするデバイスを判定します。組織で管理、登録されていない端末については、リスクがあると判定します。

5.OSやブラウザなど

サービスにアクセスするOSやブラウザで判定しています。常用しているOSやブラウザ以外からアクセスがあった場合、リスクがあると判断されます。

リスクベース認証の流れ

ここでは、リスクベース認証がどういった流れで認証を行っているか見ていきましょう。下記図をご覧ください。

リスクベース認証の流れ

①通常通り、IDとパスワードで認証を実行します。ログイン情報を送信した際、同時にアクセス元の情報も送信しています。
②ログイン情報を確認するとともに、アクセス元の情報を分析します。前述したIPアドレスや時間帯、デバイスなどを確認し、なりすましや不正アクセスのリスクがあるかどうかを判定しています。
③リスクがないと判定された場合、認証に成功し、サービスを利用できるようになります。
④リスクがあると判定された場合、追加の認証(ワンタイムパスワードや多要素認証など)を実行します。そこで、認証に成功すると、サービスの利用が可能になります。

このような流れでリスクベース認証を実行しており、利便性の維持とセキュリティ性の向上を実現しています。

リスクベース認証のメリット、デメリットとは?

ここからは、リスクベース認証のメリット、デメリットについて見ていきます。

リスクベース認証を導入するメリットとは?

最大のメリットは、ユーザーへの負荷を最小限に抑えつつ、認証を強化できる点です。 通常のアクセス環境であれば、IDとパスワードだけでログインができるため、ユーザーの利便性に変わりはありません。しかし、不正アクセス・なりすましを防げるよう、追加で認証を行える機能があるため、セキュリティを強化できます。

認証を強化する具体的な事例については、こちらのユースケースをご覧ください。

リスクベース認証を導入するデメリットとは?

デメリットとしては、従来の認証よりもコストや運用負荷がかかる点です。少なからず、アクセスのデータ収集や多要素認証を行う必要があるからです。 しかし、そのコストや負荷を捨てると、不正アクセス・情報漏洩のリスクを高めてしまうため、必要な経費として受け入れ、導入を考える方がいいでしょう。

まとめ

本記事では、リスクベース認証(条件付きアクセス)の概要や流れ、メリットとデメリットについてご説明しました。リスクベース認証は、ユーザーの利便性を維持しつつ、不正アクセスを減らすことでセキュリティ性を向上させています。 情報漏洩のリスクをいかに最小化していくかが重要になるため、リスクベース認証は非常に有用な機能と言えるでしょう。かもめエンジニアリングでは、リスクベース認証を備えたSSOソリューション「KAMOME SSO」や、同様の機能を備えるゼロトラスト接続サービスKeygatewayC1といったソリューションを提供しております。ご興味をお持ちの方やご相談がある方は、ぜひ以下のお問合せフォームよりご連絡ください。

事業・商品・サービスに関するお問い合わせ

製品に関するお問い合わせはこちら

※フリーメールでのお問い合わせは受け付けておりません。

必須
必須
必須
必須
必須
必須
必須