リアルタイム自動監視でオンライン詐欺に対抗、ベリサイン

2006/8/9

日本ベリサイン マーケティング本部長 金子眞治氏

 日本ベリサインは8月8日、国内のオンラインサービス事業者を対象として、二要素認証とオンライン詐欺検出/防止の2つのサービスを10月より提供すると発表した。同社ではこれらを「ベリサイン アイデンティティプロテクションサービス」(VIP)と総称し、同社サービス群に基づいてユーザー企業同士をつなぐ「共通認証ネットワークを構築する」(同社マーケティング本部長 金子眞治氏)という。

 新たに提供される二要素認証サービス「VIPストロングオーセンティケーションサービス」は、2005年より同社が提供してきた認証トークンを利用する二要素認証サービス「ユニファイドオーセンティケーションサービス」(UA)の発展形。UAと同様、標準として推進されつつある認証方式「OATH」に準拠しており、今回はハードウェアトークンだけでなく、携帯電話端末用ソフトウェアトークンによるワンタイムパスワード生成が利用できるようになった。

 同サービスでは、追加認証として利用するトークンや携帯端末用ソフトの配送や有効化、管理をベリサインが担当する。オンライン事業者はユーザー名にトークンなどの個体識別番号をひも付けするだけでよく、ベリサインに利用者の個人情報を渡す必要はない。

 新サービスがOATHに基づいていることのメリットは、トークンやスマートカードなどのハードウェアを複数のベンダが供給することで、コストの低減が図れることと、複数のWebサイトがユーザー認証に単一のトークンを共通に用いることで、ユーザーの利便性を高めることができる点にある。

 すでに米証券会社Charles Schwabが年内をメドに導入を決めたほか、eBayもドイツ、オーストラリアで試験運用を始めたという。

 一方、オンライン詐欺検出/防止サービス「VIPオンライン詐欺検出サービス」は、Webサイトにおける各ユーザーの行動を監視し、不審な場合には警告を出したり、追加で認証(秘密の質問に対する答えの入力、あるいは電話で伝達するパスコードの入力)を要求したりすることができる。

 正常/不審・異常の判断では、事前設定の一般的ルールと、各ユーザーの振る舞いに関する自動学習の2種類を併用する。

 一般的ルールの例としては、短時間のうちに地理的に離れた場所(IPアドレスレンジ)から同じユーザー名によるログインが発生している、オンライン詐欺データベースに登録されたIPアドレスからアクセスしている、などがある。各ユーザーに固有の情報としては、利用しているコンピュータのOSやWebブラウザの種類/バージョン、IPアドレスレンジなどの情報を取得し、パターン化して記録。通常のパターンとは異なる利用行為が見られた際には追加認証を要求するなどが行える。

ルールに基づく不正アクセスの検出例。同じIPアドレスから複数ユーザー名で短時間にログインが試みられているなどを不正と判断する

 VIPオンライン詐欺検出サービスは、監視のみを行う「オフラインモード」と、不審な場合に自動介入も行う「インラインリアルタイムモード」の2通りの利用方法がある。前者はログやデータベースの履歴を収集・分析するもので、アプリケーションの変更は不要。後者は追加認証プロセスをアプリケーションに付加する必要がある。

 2つのサービスはどちらも10月に提供開始。携帯電話端末上のソフトウェアトークンによるワンタイムパスワードについては今後1年間で20件、計2億円以上、オンライン詐欺検出サービスでは今後1年間で10件、計2億円以上の受注を目指すという。

(@IT 三木泉)

[関連リンク]
日本ベリサインの発表資料

[関連記事]
中堅企業向けに電子証明書を「切り売り」、ベリサイン新社長 (@ITNews)
RSAがフィッシング対策サービスを国内展開、本人認証の高度化も視野に (@ITNews)
無線ICタグ基盤をASPで提供、ベリサインと三井物産が協業 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)