問71

ITパスポート過去問令和8年度（2026年）問71

インターネットバンキングなどのWebサイトで利用されているリスクベース認証の例として，適切なものはどれか。

選択肢

正解：ア

あなたの回答：未回答

リスクベース認証は、端末や場所などの利用状況を基にリスクを評価し、普段と異なるなどリスクが高いと判断した場合にだけ、秘密の質問やワンタイムパスワードなどの追加認証を行う方式です。

ア：正解: 普段と異なるPCからのログインという状況の変化をリスクの上昇とみなし、追加で秘密の質問による本人確認を行っています。これは、リスクが高いと判断したときに認証強度を上げるリスクベース認証の例です。

イ：不正解: 一定時間の無操作でログアウトするのは、セッションタイムアウトによるセッション管理の仕組みです。ログイン時の状況からリスク評価して追加認証を行う方式ではありません。

ウ：不正解: パスワード誤入力を繰り返した場合のアカウントロックは、試行回数を制限して総当たり攻撃などを抑止する対策です。高リスク時に追加認証を求める方式ではなく、認証自体を一時的に停止する制御です。

エ：不正解: パスワードが長期間変更されていない場合に変更を促すのは、パスワードポリシーに関する運用です。ログイン時の状況を用いたリスク判定と追加認証の仕組みではありません。

この問題は、利用状況からリスクを判定し、必要な場合に追加認証を行う仕組みがリスクベース認証であることを理解しているかを確認しています。

この問題を解くには、リスクベース認証（状況に応じた追加認証）の理解が必要です。

用語名	意味
リスクベース認証	端末・場所・時間帯・IPアドレス・操作傾向などからリスクを評価し、普段と異なるなど高リスク時に追加認証を要求する方式です。
秘密の質問	本人しか知らない前提の質問への回答で本人確認を補助する、追加認証方式の一つです。

用語名	意味
セッションタイムアウト（自動ログアウト）	一定時間操作がない場合にセッションを終了し、再認証を求める仕組みです。
アカウントロック（ロックアウト）	認証失敗が規定回数を超えたアカウントを一時的に利用不可にし、総当たり攻撃などを防ぐ仕組みです。
パスワードポリシー（定期変更など）	パスワードの長さ・複雑さ・有効期限などの運用ルールです。

選択肢	内容の要点	リスクベース認証か	理由
ア	いつもと違うPCからのログイン時に追加認証	○	利用状況（端末の違い）からリスクを判定し、追加認証を要求しているためです。
イ	無操作で自動ログアウトし、再ログイン要求	×	セッションタイムアウトによるセッション管理であり、リスク判定に基づく追加認証ではありません。
ウ	パスワード誤入力の連続でアカウントロック	×	認証失敗回数の制限（ロックアウト）であり、リスクに応じて追加認証を行う方式ではありません。
エ	パスワード未変更が長いので変更を促す	×	パスワード運用（パスワードポリシー）であり、ログイン時のリスク判定と追加認証ではありません。

ア：正解: 普段と異なるPCからのログインという状況の変化をリスクの上昇とみなし、追加で秘密の質問による本人確認を行っています。これは、リスクが高いと判断したときに認証強度を上げるリスクベース認証の例です。

イ：不正解: 一定時間の無操作でログアウトするのは、セッションタイムアウトによるセッション管理の仕組みです。ログイン時の状況からリスク評価して追加認証を行う方式ではありません。

ウ：不正解: パスワード誤入力を繰り返した場合のアカウントロックは、試行回数を制限して総当たり攻撃などを抑止する対策です。高リスク時に追加認証を求める方式ではなく、認証自体を一時的に停止する制御です。

エ：不正解: パスワードが長期間変更されていない場合に変更を促すのは、パスワードポリシーに関する運用です。ログイン時の状況を用いたリスク判定と追加認証の仕組みではありません。

復習する覚えた

※本解説は生成AIによる学習支援用の参考情報です。内容の正確性や最新性は保証されません。最終的な判断は、試験実施団体の公式資料をご確認ください。

テクノロジ系 > 技術要素 > セキュリティ

順次、単語を追加予定です。もうしばらくお待ちください。