日本ヒューレット・パッカード(日本HP)とRSAセキュリティは12月18日、Webサービスにおける安全な認証の実現に向けて協業し、両社の製品を組み合わせたソリューションを提供すると発表した。
両社は、複数のWebサービスの認証機能を統合する日本HPのシングルサインオンソリューション「HP IceWall SSO」と、RSAセキュリティのオンラインセキュリティ強化ソリューション「RSA Adaptive Authentication for Web」とを組み合わせた連携アプリケーションを開発する。新ソリューションの開発において両社は、連携モジュールの開発をはじめとする技術協力や、顧客への共同提案などを行う。将来的には日本HPからの一括販売、サポート提供を目指す。
RSA Adaptive Authentication for Webは、「リスクベース認証」、「ユーザによるサイト認証」、「ワンタイムパスワード認証」といった複数の認証手法を組み合わせる多層型認証強化ソリューション。特にリスクベース認証では、ユーザーが使用するPCの情報や、IPアドレスおよびアクセス元の地域といったさまざまな情報からなりすましの可能性を判断する。例えば、通常利用しているブラウザがInternet Explorerであるにも関わらず、Firefoxからアクセスした場合は、ユーザーに追加の認証情報を求めるようにし、リスクを低減する。リスク判定要素のひとつとして、オンライン不正対策共有ネットワークの「RSA eFraudNetwork」が提供する情報も活用している。
日本HPの小早川氏「リスクベース認証は、ユーザーがトークンなどを持ち歩く必要もなく、利便性を保ったままなりすましを防ぐことができる」と、日本HP 技術本部 ソリューション技術本部 テクノロジソリューション部 小早川直樹氏はリスクベース認証のメリットについて説明する。
従来、Adaptive Authenticationを用いてリスクベース認証システムを構築する場合、導入には個別のプログラムを開発する必要があった。今回の協業で日本HPは、RSAセキュリティの技術協力によってIceWall SSOとリスクベース認証機能との連携モジュールを開発する。この連携モジュールを使うことで、「既存の業務アプリケーションを改修することなく、Adaptive Authenticationのリスクベース認証オプションをIceWall SSOにアドオンできる」(小早川氏)。モジュールは、2008年2月に販売を開始する予定だ。
RSAセキュリティの宮園氏RSAセキュリティ マーケティング統括本部 部長の宮園充氏によると、リスクベース認証はすでに米国では8800以上の顧客に採用されている。特に金融機関での導入実績が進んでおり、Bank of AmericaやE*TRADE Financial、ING DIRECTなどでも採用された。トークンなどを使ったワンタイムパスワード認証とリスクベース認証の違いについて宮園氏は、「ワンタイムパスワードは、パスワードを強化し、ユーザーのIDを保護するもの。リスクベース認証は、パスワードの不正利用にも対応するもので、サービスそのものの保護につながる」と説明する。
両社はこれまでにも、IceWall SSOとRSAセキュリティの提供する「RSA SecureID」のワンタイムパスワード認証とを連携した実績がある。今回の協業で両社は、リスクベース認証によるより強固な認証基盤ソリューションを提供していきたいとしている。
