「Adaptive Authentication」のエンジンを企業向けに活用
リモートアクセスに手軽なリスクベース認証を、EMC
2011/05/10
EMCジャパンは5月10日、リスクの高低に応じて追加の認証を行い、リモートアクセスを安全に行えるよう支援するアプライアンス製品「RSA Authentication Manager Express 1.0」を発表した。
同社はこれまでも、オンラインバンキングなどのサービスを提供する事業者向けに、リスクベース認証製品「RSA Adaptive Authentication」を提供してきた。IDとパスワードによる認証に加え、ユーザーがアクセスしてきた日時や場所、頻度といった情報を分析し、「普段とは異なる傾向の、リスクの高いアクセスだ」と判断すると、追加の認証を求めることで取引の安全性を高める製品だ。
RSA Authentication Manager Express 1.0は、RSA Adaptive Authenticationのリスク判定エンジンにエンタープライズ向けのチューニングを加えてサーバに搭載し、アプライアンスの形で提供する製品だ。
Cookieによるデバイス識別に加え、IPアドレス情報や接続速度、アカウントに関するアクティビティなどの要素を測定し、通常通りのアクセスか、それとも不審なところがあるリスクの高いアクセスかどうかを判定する。もしリスクの高いアクセスと判断した場合は、あらかじめ登録しておいた秘密の質問に答えるか、指定のメールアドレスに送付する「On-Demandトークン」による認証を追加し、ログインの可否を決める仕組みだ。
同社がこの製品を投入した背景には、「リモートアクセスが企業にとって不可欠になっている」(同社RSA事業本部長 山田秀樹氏)という状況がある。特に、東日本大震災後、電力ひっ迫にともなう通勤への影響や拠点の移動などへ対応する必要から、リモートアクセスへの需要が急増しているという。
一般にリモートアクセス時の認証には、IDとパスワードの組み合わせが用いられることが多い。RSAが2011年に行った独自調査によると、回答企業の67%は「IDとパスワードの組み合わせだけでログインを行っている」という。だが、パスワードには常に推測されるリスクがつきまとう。近年は特に、企業従業員のパスワード詐取を狙う、高度な攻撃が増えてきた。だからといってパスワード設定ポリシーを厳密にすると、今度はユーザーに負担が掛かる。その負荷を避けるため、パスワードの再利用やメモ書きなどが横行すると、かえってセキュリティリスクが高まりかねない。
そこで浮上するのが「SecurID」のようなワンタイムパスワード認証だが、ハードウェアトークンの配布、運用にまつわる手間とコストが課題となる。「RSA Authentication Manager Express 1.0」は、ユーザーの利便性を妨げず、コストを抑えながらリスクを回避したいと考える企業向けの製品だ。特に、認証基盤の構築・運用に十分なリソースを避けない中堅/中小企業に適しているという。
EMCジャパンではRSA Authentication Manager Express 1.0を、SSL VPNやWebポータルへのアクセス時の認証を強化したいと考える企業向けに販売する。フェデレーション機能を活用し、パブリッククラウドサービスへの連携へと拡張することも可能といい、価格は25ユーザーライセンスの場合で31万円、100ユーザーライセンスで115万円。8月22日に出荷を開始する。
【訂正】記事初出時、100ユーザーライセンスの価格を1150万円と書いてありましたが、これは115万円の誤りです。訂正してお詫び申し上げます。本文は修正済みです。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。