NEWSベリサイン、高度認証の重要性を再提唱する「SAFE」戦略発表

企業でクラウドやスマートフォン活用が広がる中で、社内への安全なアクセスを実現する高度認証が注目されている。ベリサインは既存製品の優位性を語りながら、その必要性を訴える。

[上口翔子，TechTargetジャパン]

　日本ベリサインは3月9日、親会社の米Symantecからユーザーオーセンティケーション担当バイスプレジデントのアトリ・チャタジー（Atri Chatterjee）氏を招き、日本および世界で打ち出す新戦略「SAFE：Strong Authentication For Enterprises（企業のための高度認証）」を発表した。また、同戦略に伴い提供するワンタイムパスワード／電子証明書／リスクベース認証製品を紹介した。

　SAFEとは、企業でクラウドやスマートフォンの活用が広がる中で、ID／パスワード＋αのセキュリティレベルを担保する「高度認証」の重要性を再度提唱し、普及拡大を目指すプログラムである。チャタジー氏は米国の調査会社Forresterが北米企業360社を対象に行った「過去数年にわたる企業のIT環境の変化と認証への影響」に関するアンケート結果を紹介。企業の課題を（1）企業ネットワークの境界を越えて拡大するITリスク、（2）アクセスとパスワードの問題、（3）高度認証への誤った認識による導入遅れ――の3点にまとめた。その上で課題から見えた高度認証の必要性を以下のように語った。

「高度認証への誤った認識を一掃すべきであり、高度認証こそが、スマートフォンなどを利用してクラウド経由で社内ネットワークへアクセスする現在の業務形態に求められる技術だ」とチャタジー氏

　（1）企業ネットワークの境界を越えて拡大するITリスク

　回答企業の76％がSaaS型アプリケーションを利用し、58％は同タイプのアプリケーションを複数利用している。利用状況としてはWeb会議が77％、電子メールが70％、インスタントメッセンジャーが44％、ソーシャルネットワーキングが40％。アクセス端末は企業PCに限らず多くのユーザーが個人PCから企業LANに接続している状況だ。「これは企業が全てのユーザーアクセスを管理しきれない状況を生み出すだけでなく、情報漏えいのリスク拡大にもつながる。実際に54％の企業が2010年に情報漏えいを経験している」（チャタジー氏）

　（2）アクセスとパスワードの問題

　利用するアプリケーションが増えれば、管理するパスワードも増加する。企業の中にはいまだ1カ月ごとにパスワード変更を求めているところもあり、ユーザーは全てのパスワードを覚えきれず、利便性は非常に悪い。管理者からすればユーザーからの問い合わせに追われ、業務負荷が増大する。「銀行のキャッシュカードを考えてみてほしい。私は10年以上前から同じパスワードを利用しているが、その情報が外部へ漏れたことはない。これはパスワード管理を緩和しろというわけではなく、高度認証をしていれば安全であるという意味だ」（チャタジー氏）

　（3）高度認証への誤った認識による導入遅れ

　企業ネットワークへのアクセス認証に高度認証を義務付けている企業は30％だった。67％はパートナー企業に対して高度認証を義務付けていない。「高度認証を採用しない最大の理由は所有コスト（TCO）に対する誤った認識があるからだ。高度認証を導入している企業ではハードウェアトークンを持たないクラウド経由のモバイルトークンやトークンなしの認証を利用しており、TCO削減に成功している」（チャタジー氏）

IAM（アイデンティティー／アクセス管理）を極める

ベリサイン、多様化するビジネスニーズに対応したクラウド型ワンタイム認証サービス

今からでも間に合う 5分で分かるクラウドセキュリティのポイント

高度認証の利用シーンとベリサインのソリューション

　日本ベリサイン IAS製品本部 IASプロダクトマーケティング部部長代理小林伸二氏は、実際に高度認証を利用する際のイメージや、同社が提供する高度認証製品として、低コストかつ容易に電子証明書を発行する「マネージドPKIサービス」、ワンタイムパスワードをクラウド経由で提供する「VIPオーセンティケーションサービス／VIPエンタープライズゲートウェイサービス」、ユーザー側での設定なしにリスクベース認証を実現する「VIPオンライン詐欺検出サービス」を紹介した。

「Gmail、Twitter、Facebookのパスワードを全て同一にしている人もいるが、それは非常に脆弱でいつ破られるか分からない」と高度認証の必要性を語る小林氏

　小林氏は高度認証のシーンを「コンシューマ利用（B2C／B2B）」「企業利用（B2B）」「リモートアクセス利用（B2E）」の3点に分類し、ベリサインではいずれの利用シーンにも対応可能な製品を用意しているとした。「ベリサインの高度認証は、既存の認証システムにもう1つの認証をクラウド経由で提供するというもの。その手法として、ワンタイムパスワード／電子証明書／リスクベース認証を用意している。既存システムに手を加えずに、管理を複雑化することなく高度認証を提供できるのが特徴だ」（小林氏）。

　「高度認証を選ぶ際には『認証精度』『端末依存性』など幾つか確認すべき要件がある。例えばワンタイムパスワードと電子証明書は端末依存性で大きな違いがあり、ワンタイムパスワードはマルチデバイス対応だが、電子証明書は事前に許可した端末からしか認証を許可しない、というようにそれぞれメリットがある」

高度認証の利用シーン（画像＝左）と要件別に見る高度認証技術の比較（画像＝右）

　以下、各製品の概要を紹介する。

電子証明書「マネージドPKIサービス」

　電子証明書を利用するには、証明書の認証機関と発行機関がそれぞれ必要になるが、同サービスであれば、認証機関をユーザー企業内に置くことが可能だ。発行はクラウド経由でベリサインが行うため、柔軟に電子証明書を利用できる。

ワンタイムパスワード「VIPオーセンティケーションサービス」「VIPエンタープライズゲートウェイサービス」

　ユーザーID／パスワードに加えたもう1つの認証として、ベリサインからクラウド経由で提供される6桁のワンタイムパスワードを利用できるサービスである。ワンタイムパスワードは30秒ごとに切り替わるため、もしユーザーID／パスワードが漏えいしても他者がログインする危険を回避できる。両サービスの違いは、VIPオーセンティケーションサービスがインターネットバンキング／ショッピング向けであり、VIPエンタープライズゲートウェイサービスが企業のリモートアクセス向けであるという点だ。

リスクベース認証「VIPオンライン詐欺検出サービス」

　ユーザーが利用する端末や行動履歴から、必要に応じて追加の認証を求めるサービス。「例えばいつも使用しているPCと異なるPCからログインをしたり、普段と異なる時間に利用したり、あるいは3時間前には大阪にいたのに今は他国からアクセスしているなど。不正な振る舞いを検出し、見つかった場合には、事前に登録済みの質問（好きなフルーツなど）を問い、場合によっては電話をかけたりすることでユーザーのアイデンティティーを担保する」（小林氏）。上記2つのサービスとは異なり、ユーザー側でトークンや証明書が必要ない点がポイントである。

　「クラウドやスマートフォンの普及でネットワークの境界はこれまでとは異なるセキュリティが必要となる。具体的にはインフラの保護、情報の保護、そしてアイデンティティー保護だ。中でもアイデンティティーが保護されていなければいくらファイアウォールなどで保護されていても中に侵入されてしまう。そうした意味でも高度認証で他のユーザーにIDを盗まれる心配なく安心してサービスを利用できる環境を構築することが重要だ。ベリサインの高度認証であれば競合他社と比較してTCO削減率（推計）は42％低い。より求めやすい価格で必要な高度認証を提供する」