本製品には、リスクベース認証機能(*1)が搭載されています。この機能は、金融機関を中心とした世界1万社に採用実績を持った「RSA Adaptive Authentication」(*2)に搭載されているリスク判定技術を、最適化した機能です。このリスクベース認証製品のアプライアンスモデルとしては、「RSA AMX」が国内初となります。
総務省等によると、不正アクセスの認知件数は年間約2,000件が報告されています(*3)。最近は企業を巧妙に狙う標的型の攻撃 (例:APT:Advanced Persistent Thread「先進的かつ継続的な脅威」) が増加しており、ソーシャルエンジニアリングや盗聴などの技術で、従業員のパスワードが搾取される危険性が高まっています。しかし現状では、VPNやWebメールなど重要な情報インフラへの認証に固定パスワードのみを利用する企業は依然として多く、全体の67%と高い数値を示しています(*4)。パスワード保護を目的にパスワードの設定ルールを厳密(*5)にすると、ユーザによるパスワードのメモ書きやパスワードの再利用を誘発し、不正アクセス対策としてのパスワード設定ルールの厳密化は形骸化してしまうこともしばしばあります。企業によっては、ユーザに負担のかかる認証方式の採用は、導入のハードルが高くなりがちなため、ユーザの使い勝手が変わらない認証強化を求める傾向にあります。
「RSA AMX」は、ユーザの認証要求を複数の要素で分析してリスクを判定し、認証の可否を決定するアプライアンス型リスクベース認証サーバです。認証サーバは、リスクが低いと判定する場合(例えば、日頃と同じPCや場所からログインしている)は、IDと固定パスワードのみで認証します。一方、リスクが高いと判定する場合(例えば、東京からログイン後、5分後に米国からログインが試みられている)は、追加の認証(*6)を求めます。「RSA AMX」は、ユーザは複雑なパスワードを必要とせず、新たに覚える操作やソフトウェアのインストール、機器の追加も無いので、ユーザ利便性の高い認証サーバです。
リスク判定は、不正アクセスの様々な兆候を危険度で計測しています。リスク判定要素は、ユーザが知っているもの(IDと固定パスワード)、ユーザが持っているもの(PCなど利用端末のデバイスプロファイル(*6))とユーザの行動(過去の認証履歴や移動プロファイル)の3つです。これらの要素をリスクエンジンが分析し、認証の可否を判定します。さらに、リスクエンジンはユーザのデバイスプロファイルや行動パターンを蓄積し、自己学習して判定の精度を高めていきます。
「RSA AMX」は、アプライアンスモデルで提供され、主要なSSL VPN製品やWebアプリケーションとの連携性能を検証済みです。また、高いユーザ利便性を維持し、なりすましや不正アクセスのリスクを軽減して企業情報を保護します。運用管理の負荷が低く、情報インフラの運用管理に従事する専任者の不在や、兼任者のスキル不足により認証製品の導入をためらっている企業の導入障壁を下げます。
EMCジャパンは「RSA AMX」で認証製品のバラエティを増やすことにより、お客様にとって自社に最適な製品選択の幅を広げます。さらに、クラウドサービスへの移行を視野に入れてWebベースのポータルをインターフェースとしている企業における、高度な認証の導入促進に貢献します。また、中堅・中小規模企業への強力な認証製品の導入を図ります。
■製品概要
名称 RSA Authentication Manager Express 1.0
(アールエスエー・オーセンティケーションマネージャ エクスプレス 1.0)
概要 リスクベース認証でSSL VPN、Webポータルにおけるユーザ認証を強化するアプライアンス型認 証サーバ。対応ユーザ数は、最大2,500ユーザ。
■販売概要
出荷開始日 2011年8月22日(月)
標準提供価格 ユーザ数により異なり、ライセンス単位となります。ライセンスの単位は、25、50、100、 150、250、500、750、1000、1500、2000、2500です。
例 : 25ユーザの場合 310,000円(消費税込み価格325,500円)
100ユーザーライセンス 1,150,000円(消費税込み価格1,207,500円)
※ハードウェア保守費用3年分込み
※ソフトウェア保守費用は別途必要
販売形態 RSA Authentication Manager Express販売代理店が取り扱います。
以上
*1 「リスクベース認証機能」
利用者のアクセス状況や行動パターンをはじめとする複数の要素を用いて不正アクセス等のリスクを判定し、認証の可否を決定する認証方式。
*2 「RSA Adaptive Authentication」
バックグラウンドでリスク判定を行いユーザの利便性を維持しながらセキュリティを強化するリスクベース認証製品。
*3 「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」より
(国家公安委員会、総務大臣、経済産業大臣 2011年3月3日)
(リンク »)
*4 RSA 2011 Work Place Security Report (米RSA独自調査 2011年3月)
日本を含む世界のユーザ約2,500人のアンケートから67%がVPNやWebメールでは、「ユーザIDとパスワードのみ」と回答
*5 厳密なパスワード設定ルール
長い桁数や英数字、記号の組み合わせを必須としたり、短期間での更新などを指す。このようなパスワードはユーザの管理負担が増す。
*6 追加の認証
追加の認証には、「秘密の質問(予め登録しておいた質問に答える認証方式)」や、「On-Demandトークン(ユーザの携帯電話やPCへワンタイム・パスワードを送信する認証方式)」の2種類があり、いずれも認証デバイスを用いない方式で判定する。
*7 デバイスプロファイル
クッキー情報やブラウザ情報などを指す。
■RSA Authentication Manager Expressに関するお問い合せ先
EMCジャパン株式会社 RSA事業本部 営業部
Tel : 03-5222-5230
E-mail : info-j@rsa.com
Web : (リンク »)
EMC、EMC2、RSA、SecurIDは、米国EMCコーポレーションの米国およびその他の国における商標または登録商標です。これらの商標は、日本または諸外国で商標登録等により、適用法令で守られている場合があります。その他の製品の登録商標および商標は、それぞれの会社に帰属します。
お問い合わせにつきましては発表元企業までお願いいたします。