「スワイプのクセ」も認証手段に Entrustが推進する「適応型認証」の狙い:認証から「面倒・不満」を排除すると生まれること
Entrust Datacardが、新たな認証基盤を実現するオンプレミス向け製品「IdentityGuard」とクラウドサービス「IntelliTrust」の機能拡張計画を発表。認証を単なるなりすまし防止の手段から「価値を生み出す要素」にしていくという。【訂正】
「セキュリティ」と「ユーザー利便性」、真の両立は可能か
PKI(Public Key Infrastructure:公開鍵基盤)をベースとした認証局やサーバ証明書発行サービスに加え、VPN(Virtual Private Network)やWebポータルログイン時の認証プラットフォーム、そして合併によってカード発行業務も展開するようになったEntrust Datacard(以下、Entrust)。2017年7月、同社のソフトウェアソリューション 副社長を務めるライアン・ズロキー氏が来日し、「脅威から保護するためのセキュリティにとどまらず、より多くの価値を生み出すためのセキュリティを実現していく」と今後の製品展開戦略を語った。
Entrustでは、PKIやサーバ証明書発行事業と並んで、コンシューマー向けにサービスを提供する金融機関をはじめとするサービス事業者、住民向けサービスを提供する自治体、そして従業員の認証を行う一般企業向けに認証プラットフォームを提供する企業。オンプレミス向けのソフトウェア「IdentityGuard」に加えて、クラウドベースの「IntelliTrust」も用意し、企業や自治体の環境に応じて、PKIに基づく電子証明書、トークンやプッシュ通知、ワンタイムパスワードなどを組み合わせた多要素認証をサポートしている。
例えばコンシューマー向けサービスを提供する企業向けの認証手段としては、Webログイン時のユーザー認証だけでなく、ログイン後の個々の取引についても内容を確認する「トランザクション検証(Verification)」を行い、「イベント全体の流れをコントロールできる」ことを大きな特長に挙げる。アクセスが成立した後のさまざまなセッション処理の背後で実現する「継続的認証」と呼ばれるものだ。ズロキー氏はさらに、「Webだけでなく、モバイル端末でも、カードレスATMでも、どのチャネルに対しても同一のユーザーエクスペリエンスを提供できるのが強み」と優位性をアピールした。
IdentityGuardやIntelliTrustには、アクセスしてきたデバイスの地理的な位置や時刻、デバイスが持つ固有の情報などに基づいて、AI(Artificial Intelligence:人工知能)がアクセスを許可するか、ブロックするか、それとも追加の認証でチャレンジを行うかをダイナミックに決定する「インサイトエンジン」と呼ばれる技術が搭載されている。決まりきったプロセスだけではなく、AIによって、その時、その状況に応じてダイナミックにアクセスを制御する仕組みだ。
なお、強固なセキュリティを実現するために用意される「複数の認証手段」は、一般的にはユーザーの利便性と相反する要素になる。ユーザーが面倒、不便と感じれば、その後の購買行動につながらなかったり、あるいは安全でない手段を選択してしまったりするなど、その後のリスクに影響することが起こりかねない。
それならば、アクセスのパターンや状況を認識した上で、状況に応じて的確な手段を提供できないか。そんな、セキュリティとユーザビリティのバランスを取りながら認証を実現する「適応型(アダプティブ)」と呼ばれる認証の仕組みが注目されている。Entrustも強固なセキュリティと利便性を組み合わせるこのアプローチを採用する。「“価値”を提供するイネーブラーになりたい」(ズロキー氏)という。
スマホをスワイプする際の「クセ」「パターン」なども認証に活用
Entrustはこの適応型認証機能を今後、さらに強化していく計画である。インサイトエンジンの判断材料として、そのデバイスがクローンされたものではないかといった信頼性も含めた、「デバイスのプレゼンテーション」情報を活用できるようにする他、行動生物学に基づいた「ユーザーの振る舞い」の情報もその材料に加える。
具体的には、顔、虹彩、音声といった、一般的になった指紋以外のバイオメトリクス認証機能に加え、「その人固有のデバイスの持ち方や握り方、スワイプのやり方といった情報もAIが学び、本人かどうかを判断していく」(ズロキー氏)ようだ。例えば、スマホで操作する「スワイプのクセ」が本人の認証手段に取り入れられる。
「認証に用いる要素(Factor)の“F”は、不満(Frustration)の“F”でもある。多要素認証は一定の効果がある。しかし利用者としては、サービスのログインや振り込み処理の承認のためにスマホでメッセージを受け取って、そのパスコードをPCで入力して……とやるのは、やはり面倒なはずだ。Entrustでは、セキュリティをこれまで以上に担保した上で、認証というプロセスから後者の“F”を取り除きたい」(ズロキー氏)
また、利用が広がりつつあり、同時にセキュリティの脅威も危惧されているIoT(Internet of Things)や車載システム市場に対しても、EntrustとしてPKIベースの認証システムを展開していく。IoT機器の固有情報を確認してなりすましを防ぐ対策だけでなく、IoTシステムなどにおいても「利用者が誰か」を正しく認識できるようにする。
「つまりセキュリティを担保できれば、新たな価値も創造できることになる」(ズロキー氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 多段階認証、多要素認証から不正アクセス対策を考える
利用者本人を特定するために用いられる多要素認証は、ユーザーの利便性を下げる可能性があります。まずは多要素認証の必要条件を知り、利便性と安全性のバランスを取るにはどうすべきかを考えます。 - 職員の認証は電子証明書で、足立区がプライベートクラウドでPKIを全面採用
東京都足立区は、プライベート・クラウド型情報システム基盤「足立区プライベート・クラウド」を構築した。このシステムのセキュリティ確保には、エントラストジャパンの製品を用いた公開鍵認証基盤(PKI)を活用し、電子証明書を用いた認証を導入している。 - 5分で絶対に分かるEV SSL証明書
鍵のマークが表示されても、「オレオレ証明書」じゃ意味がない! 緑のマークの「EV SSL証明書」で安全が確保できる理由を5分で解説します - NECのAI技術は、「世界」に通用するか
米国勢がリードしていると言われるAI(人工知能)分野で、画像認識技術などに強みを持つNECが世界市場での躍進を虎視眈々(たんたん)と狙っている。果たして同社のAI技術は世界に通用するか。 - 強力なSSOを実現するXML認証・認可サービス(SAML)