まず結論

リスクベース認証は、ログイン時の利用状況からリスクを判断し、必要に応じて認証を強化する仕組みであり、SG試験では「認証を固定するか、状況に応じて変えるか」を見極めることが重要です。

---

直感的な説明

「いつもと違う行動をしたときだけチェックが厳しくなる」イメージです。

例えば：

• いつものスマホ → そのままログインOK
• 海外・初めてのPC → 追加認証（SMSコードなど）

👉
普段はラクに、怪しいときだけ厳しくする

---

つまり👇
すべてを厳しくするのではなく、リスクに応じて調整する仕組み

---

定義・仕組み

リスクベース認証（Risk-Based Authentication）は、ログイン時の状況（コンテキスト）を分析し、認証レベルを動的に変える方式です。

---

■ 主にチェックする要素

• 利用端末（いつもの端末か）
• IPアドレス・地域（普段と違う場所か）
• 時間帯（通常と異なるか）
• 操作内容（異常な操作か）

---

👉
「いつもと違うかどうか」で判断する

---

■ 基本の流れ

1. ユーザがログインを試みる
2. システム（IdPなど）が状況を評価
3. リスクが低い → 通常認証
4. リスクが高い → 追加認証（MFAなど）

---

👉 ポイント
認証方式を固定しないことが特徴

---

■ 他の仕組みとの関係（重要）

• MFA → 認証を強化する手段
• RBA → いつ強化するかを判断
• SSO / IdP → 認証を一元管理する基盤

---

👉
RBAは「認証の運用ルール」

---

どんな場面で使う？

■ 使う場面

• クラウドサービス（Google、Microsoftなど）
• インターネットバンキング
• 社内システムのリモートアクセス

---

👉 SG試験では
「どの条件で認証を強化するか」が問われます。

---

■ 使うと誤解しやすい場面

• 常に強い認証をすればよい
  → 利便性が低下する

---

• リスクが低いから安全
  → 判断ミスのリスクがある

---

よくある誤解・混同

❌ 多要素認証と同じ

→ ⭕

• MFA → 常に複数要素
• RBA → 必要なときだけ強化

---

❌ 常に追加認証を行う

→ ⭕
それはRBAではなく「常時MFA」

---

❌ アクセス制御と同じ

→ ⭕

• RBA → 認証段階
• アクセス制御 → 認証後の権限制御

---

❌ SSOと同じ役割

→ ⭕

• SSO → 利便性向上
• RBA → セキュリティ調整

---

よくある誤解・混同

SG試験ではここが重要です。

■ SG試験のひっかけパターン

• 「常に同じ認証方式を使う」→ ❌
• 「状況に応じて認証を強化する」→ ⭕
• 「多要素認証と同義」→ ❌
• 「利便性と安全性のバランス」→ ⭕

---

👉
「条件によって変わるかどうか」で判断する

---

まとめ（試験直前用）

• RBA＝状況に応じて認証強度を変える
• 判断基準は「いつもと違うか」
• MFAと組み合わせて使う
• 認証の“タイミング制御”の仕組み
• SGでは「固定か可変か」で選択肢を切る

🔗 関連記事

• アクセス制御モデルとは？RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
• アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
• 監査ログとは？不正検知と追跡の基本【SG試験】
• 認証・アクセス制御まとめ｜SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
• 認証・認可・アクセス制御の違いとは？役割の切り分けを整理【情報セキュリティマネジメント】

---

🏠 情報セキュリティマネジメントトップに戻る

← シングルサインオン（SSO）とは？利便性とリスクを整理【情報セキュリティマネジメント】 チャレンジレスポンス認証とは？パスワードを送らない認証の仕組み【情報セキュリティマネジメント】 →