科目A問71
インターネットバンキングなどのWebサイトで利用されているリスクベース認証の例として,適切なものはどれか。
| 利用者がいつもログインに使っているPCとは異なるPCからのログインであったので,本人しか知らない秘密の質問による追加の認証を行った。 | |
| 利用者がログインした後,画面操作が一定時間なかったので,自動的にログアウトして,再度ログインを求めた。 | |
| 利用者がログインするときにパスワードを連続して複数回間違って入力したので,アカウントをロックした。 | |
| 利用者がログインに使っているパスワードが長期間変更されていなかったので,パスワードの変更を促した。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ア
解説
リスクベース認証は、利用者のログイン状況や利用環境を分析し、普段と異なる環境(IPアドレス・ISP・OS・Webブラウザなど)からのアクセスと判断した場合に、通常の認証に加えて追加認証を求める方式です。高リスクとみなしたアクセスにだけ追加手順を課すことで、利便性を保ちつつ不正アクセス対策を強化します。追加認証の例として、ワンタイムパスワード、秘密の質問、SMS認証、生体認証などがあります。したがって、異なるPCからのログイン時に秘密の質問を要求するアが適切です。
| ア. | 利用者がいつもログインに使っているPCとは異なるPCからのログインであったので,本人しか知らない秘密の質問による追加の認証を行った。 |
| 通常と異なるPCからのログインであることを検知し、秘密の質問による追加認証を行っています。これはリスクベース認証の具体例です。 | |
| イ. | 利用者がログインした後,画面操作が一定時間なかったので,自動的にログアウトして,再度ログインを求めた。 |
| 一定時間操作がない場合に自動でログアウトするのはセッションタイムアウトの例であり、リスクベース認証ではありません。 | |
| ウ. | 利用者がログインするときにパスワードを連続して複数回間違って入力したので,アカウントをロックした。 |
| パスワードの誤入力が続いたために利用を停止するのはアカウントロックの例であり、リスクベース認証ではありません。 | |
| エ. | 利用者がログインに使っているパスワードが長期間変更されていなかったので,パスワードの変更を促した。 |
| 長期間パスワードを変更していない場合に変更を促すのはパスワードポリシーやパスワード有効期限の例であり、リスクベース認証ではありません。 |