リスクベース認証 (RBA).

サインインごとにリアルタイムでリスクスコアを算出し、許可・追加認証・拒否といった応答を切り替える認証戦略。 サイバーセキュリティの ID とアクセス カテゴリに属します。

サインインごとにリアルタイムでリスクスコアを算出し、許可・追加認証・拒否といった応答を切り替える認証戦略。

リスクベース認証は、デバイスフィンガープリント、IP レピュテーション、ASN、位置情報、時刻、過去の行動、脅威インテリジェンス、漏えい資格情報などの文脈シグナルで毎回のサインインを評価します。低リスクならパスキーやパスワードで通過、中リスクは MFA や step-up、高リスクは遮断や隔離となります。Microsoft Entra ID Protection、Okta ThreatInsight、Ping Risk Engine、IBM Trusteer Pinpoint、Auth0 Adaptive MFA などが RBA を実装しています。NIST SP 800-63B もリスクに応じた認証器選択を支持し、Williamson の 2007 年論文「Enhanced Authentication in Online Banking」以降、この領域は成熟してきました。実効的な RBA は教師あり学習モデルと説明可能なルールを併用し、監査と運用が判断を追跡できるようにします。

リスクベース認証 (RBA) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: RBA, リスク認識認証。