広く普及したスマートフォンを活用し、モバイル多要素認証を実現
RSAではそんな要望に応えて、認証基盤「RSA SecurID Access」を提供している。長年に渡って二要素認証のデファクトスタンダード「RSA SecurID」を提供してきた同社だが、その技術も生かした「モバイル多要素認証」によって、強固な認証を実現する。
RSA SecurID AccessではRSA SecurIDによるワンタイムパスワードだけでなく、iPhoneなどのスマートフォンを活用して指紋や顔、声、強膜(眼球の外側の白色の部分)などの認証を組み合わせ、本人確認を行える。「スマートフォンが登場し、多くの人が持ち歩くようになったが、スマートフォンは認証に非常に使えるプラットフォームだ。これを使わない手はない」(齊藤氏)
※クリックすると拡大画像が見られます
また、何らかの事情でこうした生体認証を利用できない場合には、スマートフォンへのプッシュ通知を認証に用いることも可能だ。「アクセスを許可しますか?」というメッセージに応えるだけで済むライトウェイトな使い勝手で、ユーザー側の心理的な負担がない。こうした利便性を重視してパスワードと組み合わせ、採用するケースも増えているという。
「TouchIDの登場を皮切りに、ワンタイムパスワードとデジタル証明書だけでなく、その間を埋めるさまざまな認証方法が登場してきた。さまざまなバリエーションの中から認証方法を選択でき、セキュリティと利便性のバランスを見ながら場面に応じて選択できる」(齊藤氏)
リスクの度合いやアクセス先の情報に応じた「リスクベース認証」やシングルサインオンも実現
RSA SecurID Accessの特徴は他にもある。その1つが、リスクの度合いやアクセス先の重要度といった「コンテキスト」に応じて追加の認証を行う「リスクベース認証」だ。「機密情報にアクセスするのか、それとも単なる勤怠システムへのアクセスかによって、どのくらいの厳密さで本人確認すべきかは異なる」(齊藤氏)。リスクベース認証は、状況に応じて柔軟な認証を実現し、セキュリティと利便性を両立させる仕組みと言えるだろう。
リスクベース認証では独自のポリシーエンジンで、静的な解析に加え、扱うデータやアプリの重要さと、その人の属性、アクセスしてきた状況ーーアクセスパターンやデバイスのフィンガープリント、IPアドレスに地理的な位置、過去の履歴ーーといったコンテキストを動的に分析し、RSAが収集している脅威インテリジェンス情報も参照しながらリスクの高低を判断する。高リスクと判断すれば、あらかじめ定めたルールに従って追加認証を実施する仕組みで、このときにはもちろん、先ほど紹介したモバイル多要素認証のさまざまな手段から選択できる。
EMCジャパン
RSA マーケティング部 部長
水村明博氏
もう1つの特徴は、クラウドサービスやWebアプリケーション、モバイルアプリ、さらにはVPNやVDI、従来からのオンプレミスシステムへの接続など、リソース・サービスを問わずにさまざまな環境で利用できることだ。実際、「これまでSecurIDが広く使われてきたリモートアクセス時のインターネットVPNだけでなく、クラウドサービスやVDIなど、変化するIT環境に適合した形で認証プラットフォームを実現する企業は確実に増えている」と、RSA マーケティング部 部長の水村明博氏は言う。
米国では自社のセキュリティ強化だけでなく、パートナー企業も利用するシステムの認証基盤としてRSA SecurID Accessを活用し、サプライチェーン全体で認証を強化したケースもあるそうだ。
しかもRSA SecurID Accessは、SAMLやWS-Federation、OpenID Connectといった多くの業界標準をサポートしており、複数のサービスにまたがるシングルサインオン(SSO)も提供する。SSOエージェントとして機能するポータルサイトを提供する「RSA Identity Router」を活用することで、既存のオンプレミスシステムで運用してきた認証基盤を生かしながら、変化する新たなIT環境もサポートする仕組みだ。もはや、クラウドサービスごとに異なるパスワードを使い分け、その管理に頭を悩ませる必要はない。
※クリックすると拡大画像が見られます
認証はセキュリティにおける重要な要素だが、その運用に頭を悩ませてきた企業は多かった。だがRSA SecurID Accessは、パスワード以外に多様な選択肢を提供し、セキュリティの強化と利便性の向上という、これまで相反する要素と見られてきたニーズを両立させる。これにより、脆弱性の高いパスワードだけに頼った認証と決別できるかもしれない。
