「モバイルプッシュ」で本人認証、シマンテックがVIPに新機能:「パスワード引退」なるか
シマンテックは同社の認証基盤、Symantec Validation and ID Protectionに、スマートフォンを併用したプッシュ認証の機能を追加した。セキュリティと利便性の両立を目指し、パスワード撲滅を狙う。
シマンテックは2014年2月19日、同社の認証サービス「Symantec Validation and ID Protection」(VIP)の新機能として、スマートフォンでプッシュ通知を受け取り、PIN番号/指紋認証で本人認証を行うための新機能「モバイルプッシュ」(VIP Access Push)を発表した。日本における高いセキュリティニーズから生まれた機能で、オンライン商取引だけでなく医療、ATM、電子データ交換(EDI)などの領域での利用を見込んでいる。
モバイルプッシュ対応サイトにてユーザーがIDとパスワードを用いてログインすると、事前登録されたスマートフォン(現時点ではiOS、Androidを想定)へ、即座にプッシュ通知が届く。ユーザーはログインリクエストが正しいかどうか、アプリのボタンをタップする/指紋認証を行うことで本人認証を行う。これによりWebサイトの画面が遷移し、ログインが完了する。
現時点ではユーザーIDおよびパスワードを入力し、それを許可する/しないをスマートフォンで判断するというスタイルだが、パスワードとなるPINをスマートフォン側で入力するスタイルや、WebサイトではユーザーIDのみ入力してプッシュ通知をスマートフォンに送り、スマートフォン側で指紋認証することでパスワード/PINを入力しないスタイルを取ることも可能だという。
これらのログインには、VIPのリスクベース認証を組み合わせることも可能で、ジオロケーション情報やIPアドレス情報を組み合わせ、例えばATMの前にいるときはパスワード/PINを併用させる、金額が10万円以上なら別途認証を求めるなどの処理も可能になる。
シマンテックコーポレーション プロダクトマネジメント担当 シニアディレクター ロジャー・カザルス氏は「フィッシングや中間者攻撃、パスワードリスト攻撃の共通項は“パスワード”だ。これに依存しない新しいソリューションを提案したい」と述べ、誰にでも使える「押すだけ認証」方式ならば利便性を保ちつつ、セキュリティを保てるとした。
モバイルプッシュ対応のアプリはiOS/Android向けにリリースする。iOS版はすでにAppStoreにてリリース済み、Android版は2月24日に公開を予定している。
世界に先駆け日本で発表――「パスワードには引退してもらう」
この新機能は、バルセロナにて開催される「Mobile World Congress」(2014年2月24日〜)にて世界に向け発表される予定。シマンテック代表取締役社長、河村浩明氏は「日本で最初に製品をリリースするのはシマンテック初のこと」という。
この理由として河村氏は、グローバルで見ても日本のコンシューマーおよびビジネスの場において、セキュリティに対するニーズに妥協がなく、日本での要望をフィードバックすることで製品のクオリティが上がることを挙げた。もともとはシマンテック社内でのID管理用に作ったもので、それを日本の金融系企業に見せたところ反応がよかったことから、製品化が進んだという。
河村氏はリサーチ結果から、1人3つまでしかパスワードを覚えられないにもかかわらず、利用するサービスは平均30を超え、「パスワードを使い回さざるを得ない」現状があるとした。シマンテックはモバイルやクラウドサービスを守りつつ、利便性を落とさない手法としてモバイルプッシュを活用し、「パスワードには引退してもらう」(河村氏)と述べた。
Copyright © ITmedia, Inc. All Rights Reserved.