カリフォルニア州サンノゼにて開催中のRSA Conference 2006で注目を集めているテーマのひとつに、「2要素認証(2Factor Authentication)技術」がある。2月14日、基調講演のトップバッターとして登場したMicrosoftの会長Bill Gates氏も、オンライン社会の発展の前提として、厳格なユーザー認証の必要性を説いており、2要素認証が不可欠だと力説している。
その背景として、フィッシングなどオンラインバンキングの詐欺事件の増加に歯止めがかからないことに業を煮やした米国金融当局(金融機関の監督指針を制定するFFIEC)が、2005年10月にオンラインバンキングサービスを提供する銀行に対して新たなガイドラインを制定したことがある。現在の単純なパスワードだけの認証では不十分だとして、2006年末までに米国の全てのオンラインバンキングサービスで、現在より強力な追加の認証技術(2要素認証)を導入しなければならないというものだ。
米国の銀行関係者にとって、どの2要素認証技術を導入すべきかは、目の前に差し迫った大きな課題である。今回のカンファレンスで品定めをしようと、銀行関係者らしき参加者と関連ソリューションを提供するベンダーの担当者間で、真剣な質疑応答がなされているのを何度も目にした。
今回のカンファレンスでは、2要素認証を提供するベンダーが、1)バイオメトリックス、2)スマートカード、3)トークン、4)その他、という4つのカテゴリーで分けられ、のべ30社ほどが出展していた。
中でも、ワンタイムパスワードという、1分ごとに使い捨てのパスワードを生成させる技術(スマートカードタイプとトークンタイプがある)と、デバイス認証というユーザーのパソコン特有の情報をIDとして自動的に認証する技術が注目されている。今回は、RSA Security、Cyota(2005年12月にRSA Securityが買収を発表)、PassMark Security、TriCipherのブースを回った。
RSA Securityは、トークンタイプやスマートカードタイプでワンタイムパスワードを提供している。現在同社のトークンやスマートカードは全世界で800万個以上配布されており、採用数ではトップだ。すでに日本の銀行でも2要素認証の導入がスタートしているが、2006年1月に三井住友銀行とジャパンネット銀行がRSAのSecureIDを採用すると発表している。
Cyotaは、パソコンを使った認証技術と、多層的なリスクマネジメントの技術を持つ有力企業だ。ユーザーの過去のオンライン利用動向と照らし合わせ、例えばいつもと全く違った場所(国)から口座の資金を全額送金するといった異常な行動をスコアリングシステムで察知すると、携帯電話で確認を取るなどの対応をする。同社の技術は日本のクレジットカード会社でも採用実績があり、金融業界に強い。手軽なデバイス認証の技術を持たないRSAは、米国金融市場で劣勢と思われていたのだが、Cyotaを買収したことで一気に挽回を図った。RSAは、ワンタイムパスワードとデバイス認証の2つの技術を武器に、米国市場のみならず、日本市場に大攻勢をかけてくることが予想される。
PassMark Securityは、「2Factor×2Way Authentication」と称するソリューションを提供する。Cyotaと同様に、ユーザーのパソコンを使って自動認証するデバイス認証技術のみならず、ユーザーが選択した絵をサイト上に表示させることで、パスワードを入力しようとしているサイトが真正な銀行のホームページであるかどうかを認識させるソリューションを提供している。トークンタイプのようにハードウエアを配る必要はなく、銀行側が認証システムを導入すればすむため、導入コストが低い。また、自動的に画像を表示するという認証方法のため、ユーザーは入力の手間も省ける。同技術は、Bank of Americaが2005年に採用し、ユーザー数700万人の実績を有している。
TriCipherは、ワンタイムパスワードやデバイス認証など、さまざまなタイプのソリューションを提供し、技術の幅が広い。もともと、日本企業の日本システムデベロップメント(NSD)がインキュベーションして設立された経緯があり、今後日本へ導入されることが有力視されている。
今回会場をヒアリングして回ったが、米国銀行が2要素認証技術を採用したという発表はまだ数が少ないようだ。2005年10月にガイドランが出たばかりで、いずれの銀行も現時点では検討中もしくは様子見というようである。しかし、2006年中旬あたりから、多くの銀行がいずれかの技術を導入することが見込まれる。
