ステップアップ認証
ステップアップ認証 とは何ですか?
ステップアップ認証現在のセッションで認可された権限よりリスクの高い操作を行う際に、追加または強力な認証要素を要求するパターン。
ステップアップ認証は、必要な時だけ追加の摩擦を与えます。ユーザーは通常の資格情報で 1 回サインインし、送金、復旧用メールの変更、PII の閲覧、特権管理画面へのアクセスなど機密性の高い操作を要求すると、依存パーティが新しいより強力な認証を要求します。NIST SP 800-63B と OpenID Connect の acr_values / max_age パラメータは、特定の Authentication Context Class Reference の要求や、N 秒以内の再認証要求として概念を形式化しています。実装は、特権操作直前にパスキー、TOTP、ハードウェアキー、生体認証を再要求するのが一般的です。日常操作の利便性を保ちつつ、価値の高い取引を守ります。
● 例
- 01
5,000 EUR 超の送金を承認する前にハードウェアキーのタップを求めるバンキングアプリ。
- 02
GitHub の sudo モードで、リポジトリ削除など破壊的操作の前にパスキーを再度要求する例。
● よくある質問
ステップアップ認証 とは何ですか?
現在のセッションで認可された権限よりリスクの高い操作を行う際に、追加または強力な認証要素を要求するパターン。 サイバーセキュリティの ID とアクセス カテゴリに属します。
ステップアップ認証 とはどういう意味ですか?
現在のセッションで認可された権限よりリスクの高い操作を行う際に、追加または強力な認証要素を要求するパターン。
ステップアップ認証 はどのように機能しますか?
ステップアップ認証は、必要な時だけ追加の摩擦を与えます。ユーザーは通常の資格情報で 1 回サインインし、送金、復旧用メールの変更、PII の閲覧、特権管理画面へのアクセスなど機密性の高い操作を要求すると、依存パーティが新しいより強力な認証を要求します。NIST SP 800-63B と OpenID Connect の acr_values / max_age パラメータは、特定の Authentication Context Class Reference の要求や、N 秒以内の再認証要求として概念を形式化しています。実装は、特権操作直前にパスキー、TOTP、ハードウェアキー、生体認証を再要求するのが一般的です。日常操作の利便性を保ちつつ、価値の高い取引を守ります。
ステップアップ認証 からどのように防御しますか?
ステップアップ認証 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ステップアップ認証 の別名は何ですか?
一般的な別名: 再認証, トランザクション認証, ステップアップ MFA。
● 関連用語
- identity-access№ 708
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
- identity-access№ 015
適応型認証
デバイス、位置情報、振る舞いなどのシグナルに応じて、要求する認証要素の強度と数をリアルタイムに調整する認証方式。
- identity-access№ 940
リスクベース認証 (RBA)
サインインごとにリアルタイムでリスクスコアを算出し、許可・追加認証・拒否といった応答を切り替える認証戦略。
- identity-access№ 216
継続的認証
ログイン時だけでなく、行動シグナルやデバイスシグナルを用いてセッション全体にわたりユーザー本人性を検証し続ける認証アプローチ。
- identity-access№ 793
パスキー (Passkey)
フィッシング耐性のある FIDO2/WebAuthn 資格情報。端末に紐付くか同期可能な非対称鍵ペアで、パスワードを暗号学的チャレンジ-レスポンスに置き換える。
- identity-access№ 760
OpenID Connect (OIDC)
OAuth 2.0 上に構築された ID レイヤーで、クライアントが署名付き ID トークンを通じて利用者の身元を検証し、基本プロフィールを取得できるようにする。
● 関連項目
- № 519あり得ない移動の検知