リスクの徴候

オンラインで編集

IBM® Verify Adaptive Access 継続的な適応型認証を管理するために、以下のリスク指標を使用します。

動作の異常

システムは、ユーザーがユーザーまたは組織の通常の行動パターンから逸脱しているかどうかを検出します。 例えば、ユーザーのログイン履歴と、ユーザーの組織のアクティビティー時間に基づいて、ユーザーのログイン時間に異常が発生した場合などです。

新規デバイス

システムは、デバイスがアカウントの新しいロケーションかどうかを検出します。 評価の際には、複数のデバイス・インディケーターが調べられます。 デバイスの大幅な変更 (例えば、モバイル・デバイスにインストールされているブラウザーやそのネイティブ・アプリケーションに組み込まれているブラウザーなどのブラウザー・タイプ) は、新規デバイスを示している可能性があります。 また、画面のタイプや寸法などのデバイス特性も、新規デバイスを示している場合があります。 デバイスが新規ではなくアカウントで頻繁に使用されている場合は、正常な動作と見なされてアラートは発行されません。

高リスクのデバイス

システムは、セッションに使われるブラウザのバージョンが危険かどうかを検出します。 ブラウザのバージョンは危険である可能性があります。
  • 既知の詐欺師デバイス
  • スプーフィング装置属性
  • その他の類似条件
詐欺を試みる犯罪者は、正当なユーザーのブラウザーと異なる古いブラウザー・バージョンを使用することがあります。 このようなブラウザー (特に古いバージョンの Internet Explorer) は、新しいバージョンのブラウザーに比べて安全性が低く高リスクです。

高リスクの接続

システムは、セッション接続が CyberGhost や Hola などのホスティング・サービスで終了したかどうかを検出します。

詐欺を試みる犯罪者は、匿名を維持して自身の実際の IP アドレスとロケーションを明らかにしないようにするために、ホスティング・サービスを使用することがあります。 この属性は、既知の疑わしい IP アドレスの計算に基づいています。 詐欺行為とマークされるセッションが多いほど、このロジックの有用性は高くなります。

新規ロケーション

システムは、ユーザーのロケーションがアカウントの新しいロケーションかどうかを検出します。 また、アカウントでそのロケーションへの変更が頻繁に行われていないかどうかを検出します。 ロケーションがアカウントで新規であるか頻繁に使用されていない場合、システムはアラートを送信します。 ロケーションが新規ではなくアカウントで頻繁に使用されている場合は、正常な動作と見なされてアラートは発行されません。

デバイスの MFA の状況

システムは、現在と以前のログイン受信情報に基づいて、アカウントのスコープで現在のデバイス認証状態を定義します。 このフィールドには、以下のいずれかの値を入れられます。
新規 (新規)
アカウントデバイスの最初の監視。
MFA保留中 (pending_authentication)
システムは、このアカウントのデバイスの成功したMFA結果を識別しませんでした。
MFA 完了 (認証済み)
デバイスは以前にMFAチャレンジに合格しました。

RAT の徴候

システムは、現在のセッションでリモートアクセスツール(RAT)の存在を識別しました。