■製品刷新の背景
昨今消費者向けWebサービスは、OAuth2.0*3やOpenID Connect*4など、ID連携技術の発展・充実により、スマートフォンをはじめとしたマルチチャネル化、サービス間の連携など、さまざまな形で機能が充実してきています。
一方で、これらのWebサービスに対する脅威も年々増加しており、リスト型アカウントハッキング(パスワードリスト攻撃)やなりすましなどによる個人情報窃取・不正取引の被害が後を絶ちません。そういった脅威に対応するには、パスワード強化や多要素認証*5によるセキュリティ対策を推進する必要がありますが、セキュリティ対策はユーザの利便性を損ない、サービスからのユーザ離れを起こしてしまうことがあります。
このような状況から、Webサービス提供事業者にとって、最新技術を取り入れた魅力的な機能とコンテンツの提供に加えて、セキュリティの確保とユーザ利便性を両立させることが課題となっており、これらを満たすサイトを自社で開発する負担が大きなものとなっています。
「Uni-ID」は、2008年の発売開始以来、さまざまな企業のID連携基盤で採用されてきました。NRIセキュアでは、上記のような環境変化をふまえて、これまでのノウハウを踏襲した上で全面的に刷新し、高度なセキュリティ対策とユーザの利便性を両立させながら昨今のサービス事業者の課題解決にワンストップで応えられるよう、大幅な機能拡充を図ることにしました。
■本製品の特長
本製品は、消費者向けWebサービスに必要とされるアクセス制御機能を統合的に提供するパッケージ製品です。特長は以下のとおりです。
1. ユーザ認証に必要な高度なセキュリティ対策機能を統合的に提供
パスワード認証、多要素認証、脅威分析機能、継続的認証*6(特許出願中)など、高度なセキュリティ対策に必要なさまざまな機能を提供します。さらに、統合された管理機能によって、これらの認証機能を一元的に設定・管理するとともに、統計情報のモニタリングを行うことができます。
2. 利便性の高いユーザエクスペリエンス(UX)*7の実現
ユーザの認証において、セキュリティと利便性は相反するとされてきました。本製品では、エンドユーザの振る舞いを分析し、不正なアクセスの可能性が高い場合のみ多要素認証による認証をユーザに求めるなどリスクベース認証を行うことで、利便性の高いUXと高度なセキュリティの両立を実現しています。
3. アプリケーションへの組み込みの容易性
ユーザ向けの認証画面や登録画面については、標準画面テンプレートが用意されており、導入企業が個別に画面を開発する必要はありません。また画面テンプレートは、管理者機能で柔軟な変更が可能です。認証、認可の結果やユーザ属性の連携は、すべて本製品が提供するAPI*8経由で行うことができます。
なお、認可エンジンとして、認可に関する技術にグローバル実績があるAuthlete(オースリート)社のエンジンの採用を検討しています。Authlete社の認可エンジンを採用することで、標準のID連携プロトコルとなっているOpenID Connectや認可プロトコル標準であるOAuth2.0を、フルサポートで提供できると考えています。また、今後も最新のプロトコル仕様のアップデートにもいち早く対応していく予定です。
本製品の詳細は、以下のURLをご参照ください。
(リンク »)
NRIセキュアでは、本製品を核としたソリューションの売上げを、2017年度に10億円と見込んでいます。
NRIセキュアは、今後も企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、グローバルな規模で安全な情報システム環境と社会の実現に貢献していきます。
*1 CIAM: Customer Identity and Access Managementの略。消費者向けWebサイトサービスにおいて、利便性を損なわずに、セキュリティ機能を充実させた形で、ユーザからのアクセスを管理する考え方。
*2 国内で初めての製品: NRIセキュア調べ。
*3 OAuth: Webサービス同士の連携において、外部からのデータやサービスに対するアクセスを、利用者の同意に基づいて認可するための仕様。OAuthに対応したサービス連携では、利用者が外部サービスにIDやパスワードを漏らすことなく、必要最低限のアクセス権限のみを委譲することができる。現在の最新バージョンは、OAuth2.0。
*4 OpenID Connect: Webサービスサイト間で、ユーザの同意に基づき、ID情報を流通するための標準仕様。ユーザはOpenID Connect対応サイトに登録したID情報を使って、他のOpenID Connect対応サイトにログインすることが可能となり、利便性の向上につながる。
*5 多要素認証: ユーザが記憶しているID・パスワードに加え、ユーザが持っているもの(複製できない、もしくは複製しづらい機器)を組み合わせて認証をおこなうことで、セキュリティレベルを高める方法。たとえID・パスワードが漏えいしても、他の要素が揃っていない限り、ログインすることができない。
*6 継続的認証:初回認証のみに頼らず、ログイン後も本人が使い続けているかどうかを絶え間なく検証する考え方。異変を察知した場合、再認証やサービス停止などを実施する。脅威に関する情報分析技術と、認証、認可技術の連動が必須となる。フェデレーション技術、デバイス間連携(IoT)の普及・拡大で、1回の認証で複数のサービスを利用可能になった一方、ID情報を摂取された場合のリスクも高まるため、今後重要となると考えられる。
*7 ユーザエクスペリエンス: ユーザにとって心地よい操作性であり、それらを通じて得られる良い体験を示す用語。個別の機能や使いやすさのみならず、ユーザが真にやりたいことを楽しく、心地よく実現できるかどうかを重視する概念。
*8 API: アプリケーション・プログラミング・インターフェイスの略で、Web APIを差す。Webサイトが、外部のWebサイトやアプリケーションソフトに対し、インターネット経由でビジネスロジックやデータを公開するためのインターフェースを指す。
【ニュースリリースに関するお問い合わせ】
株式会社野村総合研究所 コーポレートコミュニケーション部 海藤、松本
TEL:03-5877-7100 E-mail:kouhou@nri.co.jp
【サービスに関するお問い合わせ】
NRIセキュアテクノロジーズ株式会社 ソリューションビジネス一部 柴田、大島、井本
広報 西谷、根本
TEL:03-6706-0622 E-mail:info@nri-secure.co.jp
お問い合わせにつきましては発表元企業までお願いいたします。