リスクベース認証の「ありえない移動」の適切値を考える

シングルサインオン製品や、アイデンティティ管理製品には、「リスクベース認証」という機能がついている場合があります。ログインするユーザーの行動パターンを自動で分析し、本人確認を行う仕組みです。基本的には機械学習で統計的に動作します。

製品により設定は異なりますが、リスクベースに含まれる「コンテキストベース」という考え方があります。ログインするIPアドレスやデバイス、場所などのコンテキスト（情報）を基に、アクセス制御を行う仕組みです。

このコンテキストベースの中に、「ありえない移動」という項目があります。コンテキストベースは機械学習ではなく、値を設定しますが、今回はこの「ありえない移動」の適切な値は何かを考えてみます。

ありえない移動とは

今、東京にいるのに、1時間後にアメリカからアクセスしたら悪意のあるユーザーだろうと判定し、アクセスをブロックしたり、追加要素を要求したりします。

位置情報は、基本的にはGPSではなくIPアドレスを基に判断するため、VPNやプロキシ製品を経由することで、ありえない移動と判定されてしまうこともあります。

人の移動速度を改めて整理する

今回は、「ありえない移動」にフォーカスしているので、まず、人の移動速度を確認する必要があります。いくつかの移動手段をピックアップして速度を確認します。

徒歩

「不動産の表示に関する公正競争規約施行規則」によると、「徒歩による所要時間は、道路距離80メートルにつき1分間を要するものとして算出した数値を表示すること」とされています。よって、時速に直すと4kmです。

自転車

私の実績値になりますが、安価なロードバイクで時速40kmです。

車

ここでは法定速度としましょう。一般道の場合は時速60km（原動機付自転車は30km）、高速道路では時速100km（大型貨物やトレーラーは80km）です。

Formula 1

2023年F1グランプリ「予選」のデータをすべて確認しました。

確認した結果、10月29日にエルマノス・ロドリゲス・サーキットで開催されたメキシコGPにおいて、アルファタウリ所属のダニエル・リカルドが記録した、時速353.8kmが最速です。

フェラーリがフロントローを独占し、3番手にマックス・フェルスタッペン、4番手にダニエル・リカルドが入る驚きの予選でした。なお、この最速スピードは、メインストレートSECTOR1の後半で計測されたものです。

JR山手線

最高速度としては時速90kmです。

新幹線

各路線により異なります。山陽新幹線・東北新幹線・上陸新幹線は300km、東海道新幹線は270km、北陸新幹線・九州新幹線・北海道新幹線は260kmです。

旅客機

ボーイングの主力機種である787が時速918kmです。私が子供の頃に憧れたコンコルドは、時速2,200kmです。

F/A-18

トップガンマーヴェリックで、実際にトム・クルーズが乗っていた戦闘機F/A-18は、時速965kmです。

なお、映画の冒頭で出てきた超音速機「ダークスター」は時速12,348km、マッハ10です。

走れメロス

太宰治の短編小説『走れメロス』は、自分が処刑されることになると承知の上で友情を守ったメロスが、王に信頼することの尊さを悟らせる物語です。小学生の頃に皆さんも読まれたことと思います。

この作品のクライマックスには、このような表記があります。

「少しずつ沈んでいく太陽の、十倍も早く走った」

作品の舞台は現在のシチリア島です。シチリア島は北緯37度。ここから計算していくと、メロスは時速13,000km、マッハ11で走っていたことになります。なんと「ダークスター」よりも早いですね。

なお、この計算は、空想科学研究所の柳田 理科雄先生によるものです。

移動速度比較

ここまで調べてきた速度を比較します。

メロス最速。日本語表現のポテンシャルを感じます。

アイデンティティ管理製品の初期値は？

そこで気になるのは、アイデンティティ管理製品を作っている会社が、移動速度をどう考えているのかです。手元で確認できた、Microsoft社とOkta社の初期値を見ていきます。

Okta Workforce Identity Cloud

「Okta Workforce Identity Cloud」では、Security > Behavior Detectionで確認できます。

Velocityの初期値は「805km/h」となっています。805km、キリが悪い数字に見えますが、マイルにすると500です。

Microsoft Entra ID（旧Azure Active Directory）

「Microsoft Entra ID」では、「異常検出ポリシー」の初期のポリシー名から「Impossible travel」で設定することができます。ただし、具体的な数字の記載は見当たりませんでした。リスクベースの機械学習と連動した判定をしている印象です。

最適な値は何か

電車や車での移動が中心の日本と、自家用飛行機も一般的な地域のある国では、移動速度の最適な値は異なります。

日本国内だけでの仕事であれば、新幹線＋α、300から500kmの値を設定しておけば、誤検知は少ないのではないでしょうか。海外出張者が多い場合にはもう少し長めの設定が必要と思われます。飛行機の最高速度が900kmですので、離着陸も考慮すると、Oktaの初期値である805kmも妥当に感じます。

さいごに

今回は、「ありえない移動」の適切な値について議論をするきっかけになればと思い、筆をとりました。多忙な経営者の場合、自家用飛行機やヘリコプターでの移動が中心の方もいるかもしれません。

本記事を読んでいただいた方に、アイデンティティ管理製品の設計フェーズで「弊社の社長は飛行機で移動しているので長めにしよう」、「3年後にダークスターを買う予定なのでどうするか」、「うちにはメロスがいるからどうしよう」のような会話をしてもらうことに期待しています。適切な値は組織ごとに異なりますので、デフォルト値のままではなく、本当に組織に合った値となっているのかを見直していただきたいです。

そして、今回は「ありえない移動」にフォーカスしましたが、リスクベース認証全体やアイデンティティ管理製品だけでなく、IT環境全体を通して、ユーザビリティとセキュリティの両立を考えるきっかけになれば幸いです。

プロフィール