リスクベース認証とは?
リスクベース認証ではリアルタイム インテリジェンスを使用して、各ログインの背後にあるコンテキストの総合的な情報を取得します。ユーザーがサインインしようとすると、リスクベース認証ソリューションがデバイス、場所、ネットワークなどの要素を分析します。次に、これらのコンテキスト要素に基づきリスク評価を計算し、ユーザーアクセスを許可するか、ユーザーに別の認証要素を送信するか、アクセスを完全に拒否するかのいずれかを決定することが可能です。
例えば、夜遅くに、誰かが突然あなたの家の玄関をノックしたとしましょう。真っ先に開けるのはためらわれるかも知れませんが、友だちが外から電話してきたらどうでしょう。馴染みのある声を聞けば、ドアを開けるのに、抵抗はなくなるでしょう。リスクベース認証ソリューションは、これとほぼ同様に機能します。つまり、システムにとって未知のデバイスからユーザーがログインしようとすると、ユーザーが別の要素を使い、ID がさらに確認できるまでアクセスは許可されないようにするのです。
コンテキストに応じたアクセス管理で、リスクを特定して保護
リスクベース認証のうち、人気のあるモデルケース を念頭にいれながら、リスクベースの認証ソリューションを検討する際、確認すべき主要な機能性をいかにご紹介します。
- 潜在的なセキュリティの危険を特定するためにリアルタイムの脅威データにアクセスできる
- ユーザーのデバイス、場所、ネットワーク接続などのコンテキストの分析
- リスクの高いシナリオでユーザーのIDを証明するために、ユーザーに追加の認証要素の入力を求めることができる機能
- 管理者が単にパスワードを入力するのではなく、より安全な認証手順が設定できるポリシー設定
リスクベース認証を Okta で実装
Oktaのアダプティブ多要素認証 (Adaptive MFA) は、ログイン時にユーザーのコンテキストを分析します。ユーザーのサインイン後、Adaptive MFA はリスクスコアをログイン試行時に割り当てます。これは、ユーザーの場所、デバイス、IPアドレスなどのコンテキスト等のリスク評価に基づます。リスク評価に基づき、ソリューション側では、アクセスを拒否したり、ユーザーに追加の認証要素を送信するようメッセージを送ることで、潜在的セキュリティ侵害を防御します。
Okta ThreatInsight との併用により、より強力なリスク評価ツールとして機能します。ThreatInsight は豊富なソースから得たデータを分析し、問題を引き起こす可能性のあるリスクを発見します。例えば、不審には見えないものの、Okta のネットワークで不審とフラグされる IP アドレスに、より高いリスク評価を割り当てることが可能です。ThreatInsight はシンプルな3つのステップでパスワードを完全に消去することも可能です。
- ログイン時に、ユーザー名は入力します。
- ThreatInsight はこの特定のログインのコンテキストを分析し、リスク評価をします。
- ユーザーが、リスクの低い環境でアクセスを取得する場合は、ユーザーはタップしてOkta Verifyプッシュ通知を送信させることができます。
パスワードとは異なりリスクベースの認証では、ユーザーに関して知る必要がある全ての情報が提供されます。これにより正当なユーザーは、より簡単に適切なレベルのアクセスが取得できるようになります。
参考文献
Global Risk-Based Authentication Market, 2019 to 2014: Analyzed by Offering, Deployment, End-User Vertical, and Geography. (July 2019). Globe Newswire.
Advantages of a Risk-Based Authentication Strategy for MasterCard SecureCode. (2011). MasterCard.
Protecting Data With Advanced Risk-Based Authentication Techniques. (November 2013). The Wall Street Journal.
Online Risk-Based Authentication Using Behavioral Biometrics. (July 2013). ResearchGate.