開発中で今秋辺りにリリース予定のSeciossLinkの「リスクベース認証」の新仕様についてご紹介します。
以前ご紹介しましたが現在の「リスクベース認証」はログインの時間帯や位置などをもとにあやしいと判断された場合、メール通知や追加認証をかけてセキュリティを向上させるものでした。
一方、この度の仕様変更では一つの認証方式として独立します。そして以前のリスク評価のアルゴリズムを利用して普段と同じログインと判断された場合そのまま認証成功となります。新しい「リスクベース認証」でセキュリティを維持しながらユーザビリティを向上させる機械学習の利用方法を提案します。
例えば、いつも勤務が月曜から金曜で会社内からログインする人がいたとして同じように何回かログインするうちにリスクベース認証は何もしないで成功するようになります。ところが日曜日にログインしようとしたら指定の認証をかけられることになります。またリモート勤務でいつも社外からログインする人も何回かログインするうちにリスクベース認証は何もしないで成功するようになるでしょう。
(セキュリティレベルを設定しますので必ず例のように動作するとは限りません。)
つまりテナント単位で社内のIPかそれ以外か、またはこの曜日かどうかで認証ルールを指定することができましたが、もっと細やかに“このユーザーのいつものログインだから「ID/パスワード認証」だけで“というような運用が可能になります。
主な変更点
・認証ルールの最後に設定から認証方式の一つに・判定レベルをより厳しく
・リスク評価で高いと判断されたときにかかる認証方式を全ての利用可能なものから選択可能に