「モバイルプッシュ」で本人認証、シマンテックがVIPに新機能：「パスワード引退」なるか

シマンテックは同社の認証基盤、Symantec Validation and ID Protectionに、スマートフォンを併用したプッシュ認証の機能を追加した。セキュリティと利便性の両立を目指し、パスワード撲滅を狙う。

[宮田健，＠IT]

　シマンテックは2014年2月19日、同社の認証サービス「Symantec Validation and ID Protection」（VIP）の新機能として、スマートフォンでプッシュ通知を受け取り、PIN番号／指紋認証で本人認証を行うための新機能「モバイルプッシュ」（VIP Access Push）を発表した。日本における高いセキュリティニーズから生まれた機能で、オンライン商取引だけでなく医療、ATM、電子データ交換（EDI）などの領域での利用を見込んでいる。

　モバイルプッシュ対応サイトにてユーザーがIDとパスワードを用いてログインすると、事前登録されたスマートフォン（現時点ではiOS、Androidを想定）へ、即座にプッシュ通知が届く。ユーザーはログインリクエストが正しいかどうか、アプリのボタンをタップする／指紋認証を行うことで本人認証を行う。これによりWebサイトの画面が遷移し、ログインが完了する。

　現時点ではユーザーIDおよびパスワードを入力し、それを許可する／しないをスマートフォンで判断するというスタイルだが、パスワードとなるPINをスマートフォン側で入力するスタイルや、WebサイトではユーザーIDのみ入力してプッシュ通知をスマートフォンに送り、スマートフォン側で指紋認証することでパスワード／PINを入力しないスタイルを取ることも可能だという。

　これらのログインには、VIPのリスクベース認証を組み合わせることも可能で、ジオロケーション情報やIPアドレス情報を組み合わせ、例えばATMの前にいるときはパスワード／PINを併用させる、金額が10万円以上なら別途認証を求めるなどの処理も可能になる。

ID、パスワード、プッシュを併用したログインの例

（左）ログイン画面にはIDだけを入力させる（中）スマートフォン側でPINを入力させる（右）指紋認証させてパスワードを完全に廃したスタイルも可能

　シマンテックコーポレーション プロダクトマネジメント担当 シニアディレクター ロジャー・カザルス氏は「フィッシングや中間者攻撃、パスワードリスト攻撃の共通項は“パスワード”だ。これに依存しない新しいソリューションを提案したい」と述べ、誰にでも使える「押すだけ認証」方式ならば利便性を保ちつつ、セキュリティを保てるとした。

　モバイルプッシュ対応のアプリはiOS／Android向けにリリースする。iOS版はすでにAppStoreにてリリース済み、Android版は2月24日に公開を予定している。

シマンテックコーポレーション プロダクトマネジメント担当 シニアディレクター ロジャー・カザルス氏

世界に先駆け日本で発表――「パスワードには引退してもらう」

シマンテック代表取締役社長 河村浩明氏

　この新機能は、バルセロナにて開催される「Mobile World Congress」（2014年2月24日〜）にて世界に向け発表される予定。シマンテック代表取締役社長、河村浩明氏は「日本で最初に製品をリリースするのはシマンテック初のこと」という。

　この理由として河村氏は、グローバルで見ても日本のコンシューマーおよびビジネスの場において、セキュリティに対するニーズに妥協がなく、日本での要望をフィードバックすることで製品のクオリティが上がることを挙げた。もともとはシマンテック社内でのID管理用に作ったもので、それを日本の金融系企業に見せたところ反応がよかったことから、製品化が進んだという。

　河村氏はリサーチ結果から、1人3つまでしかパスワードを覚えられないにもかかわらず、利用するサービスは平均30を超え、「パスワードを使い回さざるを得ない」現状があるとした。シマンテックはモバイルやクラウドサービスを守りつつ、利便性を落とさない手法としてモバイルプッシュを活用し、「パスワードには引退してもらう」（河村氏）と述べた。

モバイルプッシュの活用例。ワンプッシュで認証が可能なので、二要素認証やトークンを使いこなせないユーザーでも利用可能としている