電子情報通信学会総合大会講演要旨
D-19-11
リスクベース認証導入に関する一考察
○工藤史堯・川邊秀樹・山本隆広(NTT)
リスクベース認証は、セキュリティ強度と利用者の利便性を両立できる非常に有用な手段として普及しつつあるが、多くのサービス事業者にとって、リスクベース認証導入の際の、リスク分析要素の選定やリスクスコアリング方法、閾値ポリシーの決定は非常に困難である。そこで我々はリスクベース認証導入の際のガイドライン策定を目標に、リスク分析要素の評価手法の検討を行っている。本報告ではCEMの攻撃者能力分析手法を前述の分析要素分類を参考にリスクベース認証に対する攻撃者能力としてカスタマイズし、各分析要素が各種不正ログイン攻撃手法に対してどれだけ耐性があるかを定量評価するための枠組みを提案する。