日本ベリサインは3月9日、親会社の米Symantecからユーザーオーセンティケーション担当バイスプレジデントのアトリ・チャタジー(Atri Chatterjee)氏を招き、日本および世界で打ち出す新戦略「SAFE:Strong Authentication For Enterprises(企業のための高度認証)」を発表した。また、同戦略に伴い提供するワンタイムパスワード/電子証明書/リスクベース認証製品を紹介した。
SAFEとは、企業でクラウドやスマートフォンの活用が広がる中で、ID/パスワード+αのセキュリティレベルを担保する「高度認証」の重要性を再度提唱し、普及拡大を目指すプログラムである。チャタジー氏は米国の調査会社Forresterが北米企業360社を対象に行った「過去数年にわたる企業のIT環境の変化と認証への影響」に関するアンケート結果を紹介。企業の課題を(1)企業ネットワークの境界を越えて拡大するITリスク、(2)アクセスとパスワードの問題、(3)高度認証への誤った認識による導入遅れ――の3点にまとめた。その上で課題から見えた高度認証の必要性を以下のように語った。
(1)企業ネットワークの境界を越えて拡大するITリスク
回答企業の76%がSaaS型アプリケーションを利用し、58%は同タイプのアプリケーションを複数利用している。利用状況としてはWeb会議が77%、電子メールが70%、インスタントメッセンジャーが44%、ソーシャルネットワーキングが40%。アクセス端末は企業PCに限らず多くのユーザーが個人PCから企業LANに接続している状況だ。「これは企業が全てのユーザーアクセスを管理しきれない状況を生み出すだけでなく、情報漏えいのリスク拡大にもつながる。実際に54%の企業が2010年に情報漏えいを経験している」(チャタジー氏)
(2)アクセスとパスワードの問題
利用するアプリケーションが増えれば、管理するパスワードも増加する。企業の中にはいまだ1カ月ごとにパスワード変更を求めているところもあり、ユーザーは全てのパスワードを覚えきれず、利便性は非常に悪い。管理者からすればユーザーからの問い合わせに追われ、業務負荷が増大する。「銀行のキャッシュカードを考えてみてほしい。私は10年以上前から同じパスワードを利用しているが、その情報が外部へ漏れたことはない。これはパスワード管理を緩和しろというわけではなく、高度認証をしていれば安全であるという意味だ」(チャタジー氏)
(3)高度認証への誤った認識による導入遅れ
企業ネットワークへのアクセス認証に高度認証を義務付けている企業は30%だった。67%はパートナー企業に対して高度認証を義務付けていない。「高度認証を採用しない最大の理由は所有コスト(TCO)に対する誤った認識があるからだ。高度認証を導入している企業ではハードウェアトークンを持たないクラウド経由のモバイルトークンやトークンなしの認証を利用しており、TCO削減に成功している」(チャタジー氏)
日本ベリサイン IAS製品本部 IASプロダクトマーケティング部 部長代理 小林伸二氏は、実際に高度認証を利用する際のイメージや、同社が提供する高度認証製品として、低コストかつ容易に電子証明書を発行する「マネージドPKIサービス」、ワンタイムパスワードをクラウド経由で提供する「VIPオーセンティケーションサービス/VIPエンタープライズゲートウェイサービス」、ユーザー側での設定なしにリスクベース認証を実現する「VIPオンライン詐欺検出サービス」を紹介した。
小林氏は高度認証のシーンを「コンシューマ利用(B2C/B2B)」「企業利用(B2B)」「リモートアクセス利用(B2E)」の3点に分類し、ベリサインではいずれの利用シーンにも対応可能な製品を用意しているとした。「ベリサインの高度認証は、既存の認証システムにもう1つの認証をクラウド経由で提供するというもの。その手法として、ワンタイムパスワード/電子証明書/リスクベース認証を用意している。既存システムに手を加えずに、管理を複雑化することなく高度認証を提供できるのが特徴だ」(小林氏)。
「高度認証を選ぶ際には『認証精度』『端末依存性』など幾つか確認すべき要件がある。例えばワンタイムパスワードと電子証明書は端末依存性で大きな違いがあり、ワンタイムパスワードはマルチデバイス対応だが、電子証明書は事前に許可した端末からしか認証を許可しない、というようにそれぞれメリットがある」
以下、各製品の概要を紹介する。
電子証明書を利用するには、証明書の認証機関と発行機関がそれぞれ必要になるが、同サービスであれば、認証機関をユーザー企業内に置くことが可能だ。発行はクラウド経由でベリサインが行うため、柔軟に電子証明書を利用できる。
ユーザーID/パスワードに加えたもう1つの認証として、ベリサインからクラウド経由で提供される6桁のワンタイムパスワードを利用できるサービスである。ワンタイムパスワードは30秒ごとに切り替わるため、もしユーザーID/パスワードが漏えいしても他者がログインする危険を回避できる。両サービスの違いは、VIPオーセンティケーションサービスがインターネットバンキング/ショッピング向けであり、VIPエンタープライズゲートウェイサービスが企業のリモートアクセス向けであるという点だ。
ユーザーが利用する端末や行動履歴から、必要に応じて追加の認証を求めるサービス。「例えばいつも使用しているPCと異なるPCからログインをしたり、普段と異なる時間に利用したり、あるいは3時間前には大阪にいたのに今は他国からアクセスしているなど。不正な振る舞いを検出し、見つかった場合には、事前に登録済みの質問(好きなフルーツなど)を問い、場合によっては電話をかけたりすることでユーザーのアイデンティティーを担保する」(小林氏)。上記2つのサービスとは異なり、ユーザー側でトークンや証明書が必要ない点がポイントである。
「クラウドやスマートフォンの普及でネットワークの境界はこれまでとは異なるセキュリティが必要となる。具体的にはインフラの保護、情報の保護、そしてアイデンティティー保護だ。中でもアイデンティティーが保護されていなければいくらファイアウォールなどで保護されていても中に侵入されてしまう。そうした意味でも高度認証で他のユーザーにIDを盗まれる心配なく安心してサービスを利用できる環境を構築することが重要だ。ベリサインの高度認証であれば競合他社と比較してTCO削減率(推計)は42%低い。より求めやすい価格で必要な高度認証を提供する」
SDGsステートメント策定までにやったこと 眞鍋和博氏(北九州市立大学教授)と語る【後編】
前編に引き続き、LMGのSDGs推進活動をご指導いただいた北九州市立大学教授の眞鍋和博氏と...
「マーケティングオートメーション」 国内売れ筋TOP10(2021年8月)
マーケティングオートメーション(MA)ツールの顧客ドメイン数ランキングを紹介します。
「日本企業的DX」の神髄(無料eBook)
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...
ITmediaはアイティメディア株式会社の登録商標です。
「高度認証への誤った認識を一掃すべきであり、高度認証こそが、スマートフォンなどを利用してクラウド経由で社内ネットワークへアクセスする現在の業務形態に求められる技術だ」とチャタジー氏
「Gmail、Twitter、Facebookのパスワードを全て同一にしている人もいるが、それは非常に脆弱でいつ破られるか分からない」と高度認証の必要性を語る小林氏
