日本ベリサインは11月16日、新たなクライアント認証技術「Symantec Validation & ID Protection」を発表した。
同社が提供していた「ベリサイン アイデンティティプロテクション(VIP)」を再構築し、シマンテックの技術を融合することで実現した新たなクライアント認証技術。従来から提供していた二要素認証によるワンタイムパスワード認証に加え、新たにリスクベース認証を利用できるようにした。
2つの認証技術を自由に組み合わせて利用できるほか、セキュリティを重視する場合にはワンタイムパスワード認証、利便性を重視する場合にはリスクベース認証を選択するといった使い方も可能になる。
リスクベース認証は、既存サービスで提供していたオンライン詐欺検出サービスを汎用化。デバイスや行動プロファイルに基いたリスク分析をバックグランドで実行するため、利用者に負担をかけることなく、強固な認証を実現できる。
さらに、シマンテックの不正情報データベース「Global Intelligence Network」(GIN)を活用することで、未知の脅威にも迅速に対応することができる。
サイト利用者は、リスク分析を意識することなく、正規ユーザーは既存のユーザーIDとパスワードを利用することで簡単にアクセスできるのも特徴だ。
岩尾健一氏
「リスクベース認証は、強固な二要素認証を必要とするサービスには有効な手段。しかし、認証サーバの構築や、ポリシー設定、チューニングに多大な時間と費用を要していた。Symantec Validation & ID Protectionでは、導入時の負担を軽減し、スムーズな導入を実現でき、ネット利用の安全性を高めることができる」(日本ベリサイン IASプロダクトマーケティング部 マネージャー 岩尾健一氏)としている。
リスクベース認証では、事前に登録したIDから判断する「デバイスID」、アクセスしてきたデバイスの属性から判断する「デバイス指紋」、GINに登録されている不正IPとの比較などを行う「デバイス信頼性」、過去のログイン成功時と比較して異なる場所からアクセスしていないかどうかを判断する「行動」の4つのカテゴリをもとにリスクスコアを算出し、低リスクの場合にはアクセス許可、高リスクの場合には追加認証を求める。
「アクセスしたデバイスで使用しているInternet Explorerがダウングレードされていたり、東京からアクセスしていたのが1時間後に中国からアクセスされたといったように、通常あり得ないようなアクセスがあった場合にリスクが高いと判断することになる」(岩尾氏)
高リスクと判断した場合の追加認証は、事前に登録している電子メールアドレスにワンタイムパスワードを送信。これを入力して正しければ認証されるという仕組みだ。
一方、ワンタイムパスワード認証では、ハードウェアトークンからソフトウェアトークンまでを用意。ソフトウェアトークンのVIP Accessは無償で利用できる。
さらに、認証方式ごとにサーバを用意する必要がないクラウドサービスを提供。導入コストや運用管理コストを抑制して導入期間を短縮、利用者の増加にも柔軟に対応できる。また、SSL-VPNリモートアクセスを中心にウェブアプリケーションへの導入も可能であり、社内外向けサービスの認証強化を実現できるという。なお、ウェブアプリケーションの導入には、ウェブサービスAPIを提供。SSL-VPNへの導入には、VIPエンタープライズゲートウェイを提供するという。
坂尻浩孝氏
日本ベリサイン IAS製品本部 上席部長の坂尻浩孝氏は、「犯罪者による不正アクセスの手法が巧妙かつ拡大しており、ターゲットを絞りながら、あらゆる経路を使った高度な攻撃が増加している。その一方、情報システムの運用者や管理者は、デバイスの多様化、ソフトウェアの広がりなど、複雑なインフラストラクチャを持つことで管理が難しいこと、さらに情報量が爆発的に増加することで守るべきものが拡大し、対策費用も増加するという傾向にある。企業においては利便性を損なうことなく、高いセキュリティ強度をバランスよく実現することが求められており、今回のサービスでは、こうした要件をひとつのプラットフォームで提供することになる」と位置づけた。
初期費用は50万円。年間ライセンス料は、100ユーザーで32万4000円からと、従来のサービス価格を据え置いた。2011年12月1日から提供を開始する。
「1ユーザーあたり月額300円程度での利用が可能になる。3年間の利用時には他社製品に比較して3分の2の費用で済む。まずはSSL-VPNへの対応を中心とした活用を想定しており、強化した認証方式を新たに導入したいというユーザー、他認証方式からの乗り換えを想定しているユーザーなどを対象に、今後3年間で5億円の売上高を目指す」とした。