Tweet

デバイス情報や履歴に基づいてリスクを評価

ベリサインが認証サービスを強化、リスクに応じて追加認証も

2011/11/16

　日本ベリサインは11月16日、ワンタイムパスワード認証に加え、リスクベース認証も利用可能な認証サービス「Symantec Validation＆ID Protection」を発表した。デバイス情報やユーザーの行動プロファイルを基にリスクを判断し、高リスクのアクセスと判定した場合には追加の認証を加えることで、なりすましによる不正アクセスを防ぐ。

　ベリサインはこれまで、「ベリサイン アイデンティティプロテクション（VIP）」という名称で、ワンタイムパスワードを用いた二要素認証を提供してきた。IDとパスワードの組み合わせでは、第三者に盗み盗られ、なりすましされる恐れがある。これに対しワンタイムパスワードは「使い捨てパスワード」を用いるため、盗聴されたとしても通信の安全性を保つことができる。

　しかしワンタイムパスワードの場合、「ユーザーの手間がかかっていた」（同社IASプロダクトマーケティング部 岩尾健一氏）。リスクベース認証は、ユーザーに大きな負担をかけることなく、必要に応じて認証を強化する仕組みだ。

　Symantec Validation＆ID Protectionでは、認証の際、デバイス証明書などの情報に基づく「デバイスID」、OSやブラウザなどの構成情報を評価する「デバイス指紋」、「ノートン アンチウイルス」の更新状況や同社のグローバルデータベース「Global Intelligence Network」に登録された不正なIPアドレス情報と比較して判断を下す「デバイス信頼性」、過去のログイン成功時との比較による位置情報に基づく「行動」という4つの項目に基づいて「リスクスコア」を算出する。これがしきい値よりも低ければそのままアクセスを許可するが、リスクが高い場合は、追加でワンタイムパスワード認証を求める仕組みだ。

　「例えば、東京から、デバイス情報や履歴などを検証し、問題の見られないアクセスがあった直後に、同じIDとパスワードで、未知のデバイスから、短時間のうちに移動が困難な中国のIPアドレスからアクセスがあったとしたら、高リスクと判断し、追加認証を実施する」（岩尾氏）。たまたま、海外出張などで普段とは異なる場所からアクセスしてきた正規のユーザーならば、あらかじめ登録しておいたメールアドレスにワンタイムパスワードが送られてくるため、それを用いて追加認証を行えばよい。

　同サービスの特徴は、オンプレミスではなくクラウド形式で提供すること。サーバなどを導入、運用管理する手間とコストを省きつつ、認証を強化できる。また、シマンテックがグローバルに収集している情報を活用できることもメリットだ。

　「これまでIDとパスワードのみで行ってきた認証を強化したいけれど、利便性を犠牲にしたくないと考えるユーザー向けに提供していく」（岩尾氏）。特に、SSL-VPNによるリモートアクセスを従業員に提供している企業などを中心に販売していく。価格は、初期費用が50万円、ライセンス費用は100ユーザーの場合で年額32万4000円などとなっている。