サインイン時のリスク(IP・デバイス・行動・地理的位置等)を動的に評価し、リスクに応じて追加認証(MFA)を要求する仕組み。 「リスクベース認証」 とも呼ばれる。
なぜ必要か
固定の認証方針(例:「常に MFA 必須」)は ユーザー体験を損ね 、結果として MFA を回避する運用 を生み出すことがある。Adaptive Authentication は 「普段と違う」場合だけ追加認証 を要求することで、 セキュリティと UX を両立 する。
主要な評価軸
| 評価軸 | 例 |
|---|---|
| IP アドレス | 普段と違う国 / 既知の悪意ある IP |
| デバイス | 新しいブラウザ・新しい端末 |
| 時間帯 | 深夜の異常ログイン |
| 行動パターン | 短時間で多地点からのログイン(不可能な移動) |
| 侵害クレデンシャル | 既知の流出パスワード DB と照合 |
主な提供サービス
| サービス | 機能名 | 提供 tier |
|---|---|---|
| AWS Cognito | Adaptive Authentication / Compromised Credentials | Plus tier(追加課金) |
| Auth0 | Anomaly Detection / Adaptive MFA | 一部プラン以上 |
| Azure AD / Entra ID | Identity Protection | P2 ライセンス |
| Okta | ThreatInsight / Risk-Based Authentication | 一部プラン以上 |
採用判断のポイント
- 脅威モデル : セルフサインアップを許可する B2C では効果大、管理者ログインのみの BtoB では効果小
- ユーザー数 : 月間アクティブユーザー単位で課金されるため大規模 B2C で効きやすい
- 代替手段 : パスキー(フィッシング耐性)で代替できるケースもある
BtoB 管理者ログインで 「セルフサインアップ無し + パスキー有効化」 の構成なら、Adaptive Authentication は コスト対効果で必須ではない 。
関連用語
- パスキー — フィッシング耐性で代替的に機能する認証手段
- AWS Cognito — Plus tier で Adaptive Authentication を提供
- 多層防御 — Adaptive Auth は認証層の上乗せ防御