カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース

EMCジャパンが、認証システム「RSA SecurID Access」に、ユーザーの利便性を向上するリスクベース認証機能を追加

2017年6月21日8:18

EMCジャパンは、シングルサインオン（SSO）を可能にする認証システム「RSA SecurID Access」に、複数の判定要素をリアルタイムに分析してログインの可否を動的に判断するリスクベース認証機能を追加した最新版の提供を、2017年6月20日より開始。同日、同社東京本社にて、記者発表会が行われた。新機能により、認証の精度とユーザーの使いやすさが高まり、セキュリティを強化しながら利便性を向上させることができるという。

高リスクの場合に追加認証を求めるリスクベース認証により
セキュリティ強化と使いやすさを同時に実現

記者発表会では冒頭にまず、EMCジャパン RSAマーケティング部部長の水村明博氏が、新機能搭載に至った背景について語った。

昨今、企業では、業務アプリケーションのコストや運用管理を軽減するためにクラウドサービスの活用が進んでおり、ユーザーが日常的に使用するパスワードの数や入力機会が増えている。サービスごとに異なる長く複雑なパスワードを1日に何度も入力する煩わしさから、アプリケーションの使いやすさは低減している。

一方で、「2017 Data Breach Investigations Report」は、情報漏えいに関連する事件の81％が、盗難されたパスワードや弱いパスワードが利用されたケースだと報告している。また、フィッシングによる攻撃は世界的に増加傾向で、2016年には124万件超と、過去最高を記録しているという。

このような中、生産性を上げながら情報保護を徹底するために、パスワードの強化と使いやすさのバランスを図ることが重要な課題となっている。EMCジャパンは、このような課題を解決するために、「RSA SecurID Access」にリスクベース認証機能を追加した。

アプリケーションへのログイン要求時に、本人に間違いないと判定した場合にはシングルサインオンでログインを許可する一方で、本人になりすましている可能性がある（高リスク）と判定した場合には、追加で認証を要求する（追加認証）。これにより、セキュリティ強化とユーザーの利便性向上を同時に実現する仕組みだ。

スタティック分析にダイナミック分析をプラスすることで認証精度が向上

次に、EMCジャパン　RSAシステムズエンジニアリング部　部長　八束啓文氏が、サービスの概要と新機能について解説した。

「RSA SecurID Access」のリスクベース認証には、地理情報、利用デバイス、ログインの時間帯、接続元のIPアドレスなどさまざまな情報が用いられる。今回の新機能追加に当たり、EMCジャパンでは、これまでも活用していたスタティック（静的）分析に加え、ダイナミック（動的）分析を採用したという。

スタティック分析では、システム管理者があらかじめ定義したルールに従ってリスクを判定する。これに対してダイナミック分析では、ユーザーのふるまい（ビヘイビア）に関するデータをシステムが蓄積し、これに基づき分析エンジンがリアルタイムで分析・評価を行う。その結果、「“いつもの”アクセスパターンと違う」との判定結果が出れば、追加認証を要求する、あるいは、ログインを拒否するという流れになる。

ダイナミック分析では、スタティック分析が行う１か０かという判定とは異なり、白から黒へとグラデーションのかかった微妙な判断をすることができる。しかし、ログイン要求者がどのような立場の人なのか、ログインを要求されているアプリケーションが企業にとってどのぐらい重要なものかといった判断は、スタティック分析に委ねるしかない。「双方が補完し合うことで、高精度な判定が可能になっているのです」と八束氏は説明した。

「RSA SecurID Access」の導入により、毎日職場で決まったアプリケーションを利用する社員は、アプリケーションへのログイン時に毎回パスワードを入力する必要はほぼなくなるという。例えば出張などにより地理情報が変わったことによって、追加認証を求められた時にのみ、入力すればよい。リスクが高いと判定された場合の追加認証には、RSA SecurIDのワンタイムパスワード、FIDOトークン、プッシュ認証、バイオメトリック認証などの方式を利用できる。

「RSA SecurID Access」は、管理機能や認証のリスク判定などの処理をクラウドサービスとして提供しているため、導入や運用、認証方式の追加などが容易に行える。ユーザーIDやパスワードなどのユーザープロファイル情報は、企業内に設置する情報管理サーバー「RSA Identity Router（アールエスエー　アイデンティティ　ルーター）」で管理する。このようなクラウドとオンプレミスを組み合わせた「ハイブリッド・アーキテクチャ」による構成により、セキュリティと利便性をバランスよく兼ね備えた認証システムの構築が可能になるという。