JAPHICマーク取得企業は、個人情報をはじめとする機密情報を徹底的に保護する体制を整備します。
このとき、多くの企業で採用されている仕組みの一つに、リスクベース認証というものがあります。
今回は、JAPHICマーク取得企業におけるリスクベース認証の概要、導入時の注意点について解説します。
リスクベース認証の概要
リスクベース認証は、ユーザーのアクセス状況からリスクを判定し、リスクがあると判定した場合に追加の認証を行う認証技術です。
近年IDやパスワードを狙うサイバー攻撃が多くなり、不正アクセスやなりすましは増加の一途をたどっています。
このような状況の中、知識・所持・生体という3つの認証要素を組み合わせた多要素認証として、リスクベース認証は需要が大きく増加しました。
また多要素認証は複数の認証が必要になるため手間になりますが、リスクベース認証は必要なときのみ追加の認証が行われるため、利便性とセキュリティ性を両立させています。
リスクベース認証を導入する場合の注意点
リスクベース認証は、個人情報保護体制を強固にしなければいけないJAPHICマーク取得企業にとってメリットの大きいものです。
しかし、実際導入する際には以下の点に注意しなければいけません。
・コストがかかる
・アクセスをブロックすることはできない
・秘密の質問を忘れるとログインできない
各項目について詳しく説明します。
コストがかかる
JAPHICマーク取得企業がリスクベース認証を導入する場合、ある程度のコストが必要になります。
リスクベース認証には、ユーザーの環境や行動を検知するためのシステム構築が必要不可欠です。
加えて、認証後ユーザーに追加の操作を求めるアクティブ認証の場合は、追加の認証方式を導入するためのコストもかかります。
そのため、従来のIDとパスワードのみの認証と比べて、運用や管理にコストがかかる点には注意が必要です。
もちろん運用や管理に十分な人員を確保しなければ、大量のログを扱うことは難しくなります。
アクセスをブロックすることはできない
リスクベース認証を導入するJAPHICマーク取得企業は、リスクベース認証で完全にアクセスをブロックできるわけではないことを理解しましょう。
リスクベース認証のリスク分析機能や追加認証機能は、不正やなりすましによるアクセスなどを完全にブロックするものではありません。
あくまでリスクがあると判定されたものだけをブロックするものであり、正当なアクセスと判断された場合は認証が成功してしまいます。
例えば、アクセスログ上の位置情報や端末情報などが偽装されている場合、サイバー攻撃の被害に遭う可能性はあります。
秘密の質問を忘れるとログインできない
リスクベース認証では、秘密の質問を忘れると正当なログインができなくなります。
JAPHICマーク取得企業の従業員などが、いつもと違う環境で社内システムにログインしたいというケースもあります。
例えば、出張先などからいつもと違うパソコンでログインする場合などです。
またこのとき、リスクベース認証が働いて追加で秘密の質問が求められることがありますが、内容を忘れた場合、たとえ従業員であってもログインはできなくなります。
もし秘密の質問に答えられないのであれば、メールやSMS等による情報の再設定を行う仕組みを活用したり、管理者に連絡を取ったりしなければいけません。
まとめ
リスクベース認証は、一般の企業よりも強固な情報セキュリティ体制が求められるJAPHICマーク取得企業にとって、非常におすすめのシステムです。
ある程度導入コストや手間はかかりますが、不正アクセスやなりすましによる情報漏えいのリスクは軽減されます。
ただし、情報漏えいのリスクを限りなくゼロに近づけるには、リスクベース認証の導入だけでは不十分です。
情報漏えいのシーンをイメージし、必要な対策を適宜追加しましょう。