検索
ニュース

「スワイプのクセ」も認証手段に Entrustが推進する「適応型認証」の狙い認証から「面倒・不満」を排除すると生まれること

Entrust Datacardが、新たな認証基盤を実現するオンプレミス向け製品「IdentityGuard」とクラウドサービス「IntelliTrust」の機能拡張計画を発表。認証を単なるなりすまし防止の手段から「価値を生み出す要素」にしていくという。【訂正】

Share
Tweet
LINE
Hatena

「セキュリティ」と「ユーザー利便性」、真の両立は可能か

photo Entrust Datacard ソフトウェアソリューション 副社長のライアン・ズロキー氏

 PKI(Public Key Infrastructure:公開鍵基盤)をベースとした認証局やサーバ証明書発行サービスに加え、VPN(Virtual Private Network)やWebポータルログイン時の認証プラットフォーム、そして合併によってカード発行業務も展開するようになったEntrust Datacard(以下、Entrust)。2017年7月、同社のソフトウェアソリューション 副社長を務めるライアン・ズロキー氏が来日し、「脅威から保護するためのセキュリティにとどまらず、より多くの価値を生み出すためのセキュリティを実現していく」と今後の製品展開戦略を語った。

 Entrustでは、PKIやサーバ証明書発行事業と並んで、コンシューマー向けにサービスを提供する金融機関をはじめとするサービス事業者、住民向けサービスを提供する自治体、そして従業員の認証を行う一般企業向けに認証プラットフォームを提供する企業。オンプレミス向けのソフトウェア「IdentityGuard」に加えて、クラウドベースの「IntelliTrust」も用意し、企業や自治体の環境に応じて、PKIに基づく電子証明書、トークンやプッシュ通知、ワンタイムパスワードなどを組み合わせた多要素認証をサポートしている。

 例えばコンシューマー向けサービスを提供する企業向けの認証手段としては、Webログイン時のユーザー認証だけでなく、ログイン後の個々の取引についても内容を確認する「トランザクション検証(Verification)」を行い、「イベント全体の流れをコントロールできる」ことを大きな特長に挙げる。アクセスが成立した後のさまざまなセッション処理の背後で実現する「継続的認証」と呼ばれるものだ。ズロキー氏はさらに、「Webだけでなく、モバイル端末でも、カードレスATMでも、どのチャネルに対しても同一のユーザーエクスペリエンスを提供できるのが強み」と優位性をアピールした。

 IdentityGuardやIntelliTrustには、アクセスしてきたデバイスの地理的な位置や時刻、デバイスが持つ固有の情報などに基づいて、AI(Artificial Intelligence:人工知能)がアクセスを許可するか、ブロックするか、それとも追加の認証でチャレンジを行うかをダイナミックに決定する「インサイトエンジン」と呼ばれる技術が搭載されている。決まりきったプロセスだけではなく、AIによって、その時、その状況に応じてダイナミックにアクセスを制御する仕組みだ。

photo Entrustが示した新世代の認証基盤。インサイトエンジンが重要な役割を果たし、今後は緑色で示された機能を強化していく計画だ

 なお、強固なセキュリティを実現するために用意される「複数の認証手段」は、一般的にはユーザーの利便性と相反する要素になる。ユーザーが面倒、不便と感じれば、その後の購買行動につながらなかったり、あるいは安全でない手段を選択してしまったりするなど、その後のリスクに影響することが起こりかねない。

 それならば、アクセスのパターンや状況を認識した上で、状況に応じて的確な手段を提供できないか。そんな、セキュリティとユーザビリティのバランスを取りながら認証を実現する「適応型(アダプティブ)」と呼ばれる認証の仕組みが注目されている。Entrustも強固なセキュリティと利便性を組み合わせるこのアプローチを採用する。「“価値”を提供するイネーブラーになりたい」(ズロキー氏)という。

スマホをスワイプする際の「クセ」「パターン」なども認証に活用

 Entrustはこの適応型認証機能を今後、さらに強化していく計画である。インサイトエンジンの判断材料として、そのデバイスがクローンされたものではないかといった信頼性も含めた、「デバイスのプレゼンテーション」情報を活用できるようにする他、行動生物学に基づいた「ユーザーの振る舞い」の情報もその材料に加える。

 具体的には、顔、虹彩、音声といった、一般的になった指紋以外のバイオメトリクス認証機能に加え、「その人固有のデバイスの持ち方や握り方、スワイプのやり方といった情報もAIが学び、本人かどうかを判断していく」(ズロキー氏)ようだ。例えば、スマホで操作する「スワイプのクセ」が本人の認証手段に取り入れられる。

 「認証に用いる要素(Factor)の“F”は、不満(Frustration)の“F”でもある。多要素認証は一定の効果がある。しかし利用者としては、サービスのログインや振り込み処理の承認のためにスマホでメッセージを受け取って、そのパスコードをPCで入力して……とやるのは、やはり面倒なはずだ。Entrustでは、セキュリティをこれまで以上に担保した上で、認証というプロセスから後者の“F”を取り除きたい」(ズロキー氏)

 また、利用が広がりつつあり、同時にセキュリティの脅威も危惧されているIoT(Internet of Things)や車載システム市場に対しても、EntrustとしてPKIベースの認証システムを展開していく。IoT機器の固有情報を確認してなりすましを防ぐ対策だけでなく、IoTシステムなどにおいても「利用者が誰か」を正しく認識できるようにする。

 「つまりセキュリティを担保できれば、新たな価値も創造できることになる」(ズロキー氏)

【おわびと訂正:2017年7月24日11時20分 初出時、プレス配布資料表記の誤りから取材対象者名の表記に誤記がありました。正しくは「ライアン・ズロキー氏」となります。おわびして訂正いたします】



Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開
  10. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
ページトップに戻る