インターネットバンキングの口座開設、オンラインショッピングの会員登録などで設定を求められる「秘密の質問」。「母親の旧姓は？」「ペットの名前は？」といった、登録者本人しか知らない質問と答えを登録しておくものです。

しかし、この「秘密の質問」の答えをたずねられることはめったにないはず。いったいなんのためにこの質問を設定しているんだろうと不思議に思うことはないでしょうか？

「秘密の質問」は、多くの場合「リスクベース認証」と呼ばれるセキュリティ対策に利用されます。リスクベース認証は、IP Geolocation技術と深い関わりがあるのです。

「リスクベース認証」とは？

※図：リスクベース認証によるなりすましの防止

リスクベース認証とは、ユーザのアクセス履歴などを元に「不正のリスク」を判定し、高リスクと判定された場合には追加認証などを行うことで、なりすましを防ぐ認証技術です。「秘密の質問」は、追加認証のために用意された特別な質問なのです。

IDやパスワードといった認証情報を第三者が入手した場合、それだけでは正規のユーザとなりすましユーザとの区別をつけることができず、悪用を止めることができません。しかし、リスクベース認証を併用することによって、万一認証情報が外部に流出したとしても、正規のユーザとの行動パターンの違いなどを元にリスクを判定し、不正なアクセスを水際で防ぐことが可能になります。

※さらに詳しく知りたい方は「匿名ネットワーク」をご参照ください。

不正アクセスのリスクを判断するIP Geolocation技術

ユーザのIPアドレスを元に位置情報を判定し、普段ユーザがどこからアクセスしているかという情報をあらかじめ記録しておくことで、そこから大きな乖離があった場合や、現実にありえない位置情報の変化があった場合などに「不正アクセスのリスクが高い」と判断することができます。

例えば、普段は福岡からしかアクセスしない人が、突然中国からアクセスしてきたらどうでしょうか。本当に同じ人なのかどうか、怪しいなと思うはずです。また、15分前に東京からログインしたユーザページに、大阪からログインがあったら…。明らかに同じ人だとは考えられませんよね。

その他、公開プロキシサーバ経由のアクセスや、特定の高リスク地域からのアクセスなどに対しても「不正アクセスのリスクが高い」と判断することができます。

リスクベース認証は、「高リスク」という判断がされない限り、ユーザ側で特別な操作を行う必要がありません。ユーザに負担をかけずにセキュリティ性を高めることができるというユーザビリティの高さも大きな利点です。

インターネットバンキングやオンラインショッピングなどのオンライン取引をより安全にご利用いただけるよう、見えない所でIP Geolocation技術が活躍しているのです。

まとめ

• リスクベース認証とは、ユーザのアクセス履歴などを元に「不正のリスク」を判定し、高リスクと判定された場合には追加認証などを行うことで、なりすましを防ぐ認証技術
• ユーザに負担をかけずにセキュリティ性を高めることができるというユーザビリティの高さが大きな利点