EMCジャパンが、認証システム「RSA SecurID Access」に、ユーザーの利便性を向上するリスクベース認証機能を追加

2017年6月21日8:18

EMCジャパンは、シングルサインオン(SSO)を可能にする認証システム「RSA SecurID Access」に、複数の判定要素をリアルタイムに分析してログインの可否を動的に判断するリスクベース認証機能を追加した最新版の提供を、2017年6月20日より開始。同日、同社東京本社にて、記者発表会が行われた。新機能により、認証の精度とユーザーの使いやすさが高まり、セキュリティを強化しながら利便性を向上させることができるという。

高リスクの場合に追加認証を求めるリスクベース認証により
セキュリティ強化と使いやすさを同時に実現

記者発表会では冒頭にまず、EMCジャパン RSAマーケティング部 部長の水村明博氏が、新機能搭載に至った背景について語った。

EMCジャパン RSAマーケティング部 部長 水村明博氏

昨今、企業では、業務アプリケーションのコストや運用管理を軽減するためにクラウドサービスの活用が進んでおり、ユーザーが日常的に使用するパスワードの数や入力機会が増えている。サービスごとに異なる長く複雑なパスワードを1日に何度も入力する煩わしさから、アプリケーションの使いやすさは低減している。

一方で、「2017 Data Breach Investigations Report」は、情報漏えいに関連する事件の81%が、盗難されたパスワードや弱いパスワードが利用されたケースだと報告している。また、フィッシングによる攻撃は世界的に増加傾向で、2016年には124万件超と、過去最高を記録しているという。

このような中、生産性を上げながら情報保護を徹底するために、パスワードの強化と使いやすさのバランスを図ることが重要な課題となっている。EMCジャパンは、このような課題を解決するために、「RSA SecurID Access」にリスクベース認証機能を追加した。

アプリケーションへのログイン要求時に、本人に間違いないと判定した場合にはシングルサインオンでログインを許可する一方で、本人になりすましている可能性がある(高リスク)と判定した場合には、追加で認証を要求する(追加認証)。これにより、セキュリティ強化とユーザーの利便性向上を同時に実現する仕組みだ。

スタティック分析にダイナミック分析をプラスすることで認証精度が向上

次に、EMCジャパン RSAシステムズエンジニアリング部 部長 八束啓文氏が、サービスの概要と新機能について解説した。

EMCジャパン RSAシステムズエンジニアリング部 部長 八束啓文氏

「RSA SecurID Access」のリスクベース認証には、地理情報、利用デバイス、ログインの時間帯、接続元のIPアドレスなどさまざまな情報が用いられる。今回の新機能追加に当たり、EMCジャパンでは、これまでも活用していたスタティック(静的)分析に加え、ダイナミック(動的)分析を採用したという。

スタティック分析では、システム管理者があらかじめ定義したルールに従ってリスクを判定する。これに対してダイナミック分析では、ユーザーのふるまい(ビヘイビア)に関するデータをシステムが蓄積し、これに基づき分析エンジンがリアルタイムで分析・評価を行う。その結果、「“いつもの”アクセスパターンと違う」との判定結果が出れば、追加認証を要求する、あるいは、ログインを拒否するという流れになる。

ダイナミック分析では、スタティック分析が行う1か0かという判定とは異なり、白から黒へとグラデーションのかかった微妙な判断をすることができる。しかし、ログイン要求者がどのような立場の人なのか、ログインを要求されているアプリケーションが企業にとってどのぐらい重要なものかといった判断は、スタティック分析に委ねるしかない。「双方が補完し合うことで、高精度な判定が可能になっているのです」と八束氏は説明した。

「RSA SecurID Access」の導入により、毎日職場で決まったアプリケーションを利用する社員は、アプリケーションへのログイン時に毎回パスワードを入力する必要はほぼなくなるという。例えば出張などにより地理情報が変わったことによって、追加認証を求められた時にのみ、入力すればよい。リスクが高いと判定された場合の追加認証には、RSA SecurIDのワンタイムパスワード、FIDOトークン、プッシュ認証、バイオメトリック認証などの方式を利用できる。

「RSA SecurID Access」は、管理機能や認証のリスク判定などの処理をクラウドサービスとして提供しているため、導入や運用、認証方式の追加などが容易に行える。ユーザーIDやパスワードなどのユーザープロファイル情報は、企業内に設置する情報管理サーバー「RSA Identity Router(アールエスエー アイデンティティ ルーター)」で管理する。このようなクラウドとオンプレミスを組み合わせた「ハイブリッド・アーキテクチャ」による構成により、セキュリティと利便性をバランスよく兼ね備えた認証システムの構築が可能になるという。

導入は100ユーザーから可能。1,000ユーザーの場合、7,452,000円~(消費税、保守料金別)。ただしRSA SecurIDを利用中の場合は、1,000ユーザーに付き2,496,000円~で利用可能だ。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP