ITパスポート 令和8年度 問71:securityに関する問題
インターネットバンキングなどの Web サイトで利用されているリスクベース認証の例として,適切なものはどれか。
- a利用者がいつもログインに使っているPC とは異なる PC からのログインであったので,本人しか知らない秘密の質問による追加の認証を行った。正答
- b利用者がログインした後,画面操作が一定時間なかったので,自動的にログアウトして,再度ログインを求めた。
- c利用者がログインするときにパスワードを連続して複数回間違って入力したので,アカウントをロックした。
- d利用者がログインに使っているパスワードが長期間変更されていなかったので,パスワードの変更を促した。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは a です。
「リスクベース認証」は、“いつもと違う動き”を見つけたときだけ追加で本人確認する仕組みです。
たとえば、いつも家のパソコンからログインしている人が、急に知らないパソコンからログインしようとしたら、「あれ、いつもと違うぞ?」と感じますよね。そんなときだけ「秘密の質問」などで「本当にあなた?」と念のため確認します。普段どおりならそのまま通します。
👉 覚え方:「いつもと違う=あやしい=追加チェック」がリスクベース認証。
ほかの選択肢:b 放置で自動ログアウト(タイムアウト)/c 何回も間違えてロック(アカウントロック)/d パスワード古いから変えてね(定期変更のうながし)。どれも“いつもと違うか”は見ていません。
なぜこれが正解か
正解は a。リスクベース認証は、ログイン時の状況(普段と異なる端末・IPアドレス・場所・時間帯など)から不正の「リスク」を評価し、リスクが高いと判断したときだけ追加認証(秘密の質問など)を要求する方式。普段どおりなら追加認証を省くため、安全性と利便性を両立できる。aは「いつもと異なるPC」というリスクを検知して追加認証している典型例。
各選択肢の解説
- b:一定時間操作がなければログアウト=セッションタイムアウト。
- c:連続でパスワードを間違えてロック=アカウントロック。
- d:長期間変更されていないので変更を促す=パスワードの定期変更。
覚え方・ひっかけ注意
キーワードは「いつもと違う状況のときだけ」追加認証する点。b・c・dはどれも有効なセキュリティ対策だが、“状況のリスクに応じて”動的に認証を変えてはいない。ここで区別する。
理論的背景
リスクベース認証(Risk-Based Authentication:RBA)は文脈認識型認証(Context-Aware Authentication)の一形態であり、ユーザーのログイン時の環境・行動コンテキストを動的に評価してリスクスコアを算定し、リスクが高い場合のみ追加認証を要求する適応型認証方式。本問正解aの「普段と異なるPCからのログイン→秘密の質問による追加認証」がRBAの典型的実装例。
RBAが評価するリスク要素:デバイスフィンガープリント(OSバージョン・ブラウザ・解像度・フォント等)・IPアドレス(地理情報・ASN・プロキシ/VPN使用判定)・ログイン時刻(通常行動パターンからの逸脱)・接続場所(自宅・職場・海外)・操作速度・マウス動作(行動バイオメトリクス)。機械学習モデルでこれらの特徴量からリスクスコアを計算し、低リスクは通常認証・高リスクは追加認証(OTP・秘密の質問・生体認証)を要求する。
NIST SP 800-63B(Digital Identity Guidelines)ではリスクに応じた認証器の強度選択(AAL1/2/3)を定義しており、RBAはこのフレームワークの実装形態の一つとして位置づけられる。
実務での使われ方
大手金融機関(メガバンク・ネット銀行)はRBAを不正送金対策の中核として実装している。代表的なシグナルとして「海外IPからのアクセス」「深夜の高額送金」「普段使わない端末からのアクセス」を組み合わせたスコアリングでリスク判定を行い、高リスクと判定された取引には電話による確認・SMS OTP・顔認証を要求する多段階防御を構築している。
OAuth 2.0・OpenID Connect(OIDC)を使ったSSOシステムでは、認証プロバイダ(Auth0・Okta・Azure AD)がRBAエンジンを提供しており、Conditional Access(条件付きアクセス)ポリシーとして設定可能。ゼロトラストアーキテクチャ(ZTNA)においてもRBAは「継続的認証・認可」の実装手段として中核的役割を担う。
試験での位置づけ
リスクベース認証はITパスポートのセキュリティ分野で出題頻度が増加しているトピック。多要素認証・シングルサインオン・リスクベース認証の3概念の違いと適用場面の識別が問われる。RBAの識別キーワード:「通常と異なる環境の検知」「コンテキストに応じた認証強度の変動」「リスクが高い場合のみ追加認証」。誤り選択肢b(セッションタイムアウト)・c(アカウントロック)・d(パスワード変更促進)はRBAとは独立した標準的セキュリティ機能であり、「リスク評価に基づく動的な認証」というRBAの本質的特徴を持たない。基本情報技術者試験ではOAuth 2.0・OIDC・FIDO2(WebAuthn)等の認証プロトコルの詳細・ゼロトラストアーキテクチャでのID中心セキュリティ(Identity as the New Perimeter)まで踏み込んだ出題がある。
選択肢の発展補足
選択肢bのセッションタイムアウトはアイドル状態の自動ログアウト機能で、セッションハイジャック・画面の放置による不正アクセスリスクを低減する。OWASP(Open Web Application Security Project)のセッション管理ベストプラクティスでは15〜30分のアイドルタイムアウトを推奨している。選択肢cのアカウントロックはブルートフォース攻撃・パスワードスプレー攻撃への対策として機能するが、正規ユーザーへのDoS(サービス拒否)リスクもある(攻撃者が意図的にアカウントをロックする逆用も可能)。そのためカウンター付き遅延(指数バックオフ:1秒→2秒→4秒と遅延を増加)やCAPTCHAと組み合わせた対策が推奨される。選択肢dのパスワード有効期限については、NIST SP 800-63Bが2017年以降「定期的なパスワード変更を強制しないこと」を推奨に改訂しており、漏えい検知に基づく変更要求(HIBP連携等)が現代のベストプラクティスとなっている。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和8年度 問71/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。