71の正解: テクノロジ系セキュリティ

インターネットバンキングなどのWebサイトで利用されているリスクベース認証の例として、適切なものはどれか。

この設問が問うていること

リスクベース認証の概念と具体的な適用例について問う設問です。

利用者がいつもログインに使っているPCとは異なるPCからのログインであったので、本人しか知らない秘密の質問による追加の認証を行った。正解
選択肢の解説: リスクベース認証の説明です。普段と異なる環境からのアクセスをリスクと判断し、本人しか知らない秘密の質問による追加の認証を求めることでセキュリティを強化しています。これが正解です。
利用者がログインした後、画面操作が一定時間なかったので、自動的にログアウトして、再度ログインを求めた。
選択肢の解説: アイドルタイムアウト(セッションタイムアウト)の説明です。利用者が一定時間操作を行わない場合に自動的にログアウトさせるセキュリティ対策であり、リスクベース認証ではありません。
利用者がログインするときにパスワードを連続して複数回間違って入力したので、アカウントをロックした。
選択肢の解説: アカウントロックの説明です。不正なログイン試行(ブルートフォースアタックなど)を防ぐための対策であり、リスクベース認証とは異なります。
利用者がログインに使っているパスワードが長期間変更されていなかったので、パスワードの変更を促した。
選択肢の解説: パスワードの定期的な変更を促すセキュリティ対策の説明です。パスワード管理の一環であり、リスクベース認証ではありません。

総合解説

リスクベース認証は、ログイン時の状況(IPアドレス、利用端末、時間帯など)を分析し、普段と異なる、あるいはリスクが高いと判断された場合に、追加の認証(秘密の質問、ワンタイムパスワードなど)を求める仕組みです。これにより、不正アクセスを効果的に防ぎます。 選択肢アは、普段と異なるPCからのログインという「リスク」を検知し、本人しか知らない秘密の質問という「追加の認証」を求めているため、リスクベース認証の典型的な例として適切です。 選択肢イの「自動ログアウト」はセッションタイムアウト、ウの「アカウントロック」はブルートフォースアタック対策、エの「パスワード変更の促し」はパスワード管理の一環であり、いずれもリスクベース認証とは異なるセキュリティ対策です。リスクベース認証のポイントは、「状況に応じて認証の強度を動的に変える」点にあります。

執筆・監修: 運営者 KH更新日: 2026-06-30出典: IPA公式PDF(過去問題・解答例)
AIAIにその場で質問(デモ応答)

こんな聞き方もできます(タップで質問)

令和8年度を本番同様のCBT形式で解いてみよう

無料登録なしでも一部体験可能。登録すれば採点・弱点分析・AI教科書まで使えます。

令和8年度の過去問CBTを解く