デジタルトランスフォーメーション(DX)に取り組む企業は、同時にデジタルリスクにも直面する。企業はDXを推進する同じスピードで、サイバーセキュリティ対策にも取り組む必要がある――。
こう語るのは、米Dell Technologies傘下の米RSAでシニアバイスプレジデント兼製品担当を務めるグラント・ゲイヤー(Grant Geyer)氏だ。
近年、RSAは「サイバーセキュリティ企業」から「デジタルリスク管理企業」へと変貌を遂げている。ゲイヤー氏は、「DXに伴い、企業はこれまで以上にデジタルツールを活用するようになった。従来のセキュリティツールでは、こうしたデジタルツールの管理は難しい」と警鐘を鳴らす(関連記事『デジタルトランスフォーメーションがもたらすリスクにどう対処するか?』)。
DX時代に合わせたデジタルリスク管理には、これまでとは異なったアプローチが求められると力説するゲイヤー氏。では、何に留意し、どのような対策を講じればよいのか。7月16日から3日間、シンガポールで開催されたセキュリティの総合コンファレンス「RSA Conference 2019 Asia Pacific & Japan」で、ゲイヤー氏とEMCジャパン 執行役員 RSAゼネラルマネージャー日本および韓国担当の貴島直也氏に話を聞いた。
「みんな揃って二段階認証」への危惧
かねてから日本企業は欧米企業と比較し、セキュリティ対策とそれに割く予算が低調だと指摘されていた。しかし、貴島氏は、「最近は、フォレンジック(インシデントの全容を調査/分析して対策を講じること)に対し、お客様からダイレクトに引き合いがあります」と語る。
実際、RSAのSIEM(Security information and event Management:セキュリティ情報イベント管理)製品である「RSA NetWitness Platform」や、アクセス管理/ID認証の「SecurID」は、日本での売上げが前年比30%増と堅調な伸びを見せているという。
「特に、『RSA SecurID』は、金融機関向けの認証システムとして関心を寄せていただいています。われわれは、セキュアIDアクセス(認証基盤)として『Fraud & Risk Intelligence Suite』を提供しています。これは、複数チャネルのオンライン不正行為の検出/調査を行う製品です。これまで同製品に対するお問い合わせは、オンライン・バンキングを運用する金融機関からのものがほとんどでした。しかし、最近では(購買に応じて値引きするような)ポイントを扱う企業からの引き合いも多くいただいています」(貴島氏)
こうした背景には、ポイントがオンライン上で通貨と同様の価値を持つものとして扱われていることが挙げられる。特に、2019年10月の消費税増税後は、キャッシュレス決済によるポイント還元が開始する。そのため、個人情報に紐付いたポイントデータを扱う企業は、金融機関と同等のセキュリティ認証が必要になるのだ。
2019年7月、セブン&アイ・ホールディングスのスマートフォン決済サービス「7pay(セブンペイ)」で、大規模な不正利用が判明した。その原因の1つに挙げられているのが、二段階認証を導入していなかったことである。貴島氏は、「個別事案の影響についてコメントする立場にありませんが……」とした上で、「(今回の不正利用が判明する)以前から、RSAでは『二段階認証』に対するお問い合わせには『多要素認証』を提案していました。さらに最近では、『リスクベース認証』を推奨しています」と語る。
一般的に二段階認証(二要素認証)は、IDやパスワードの入力のほかに携帯電話の番号に紐付いたSMS(Short Messenger Service)によるワンタイムパスワードなどを使って本人確認を行う認証を指す。RSAはワンタイムパスワード製品に長年の実績があることから、「(ワンタイムパスワードによる)二段階認証に関する問い合わせは多くいただく」(貴島氏)という。
これに対し、多要素認証は、SMSによるワンタイムパスワードだけでなく、指紋や虹彩などの生体認証、ハードウェア・トークン、ソフトウェア・トークン、FIDOトークンなど、広範な認証を複合的に利用する認証方法を指す。
さらに、リスクベース認証とは、ユーザーの基礎情報や行動情報といった判定要素をダイナミックに分析し、ログインの可否を動的に判断するもの。例えば、IPアドレスや地理情報、利用デバイス情報をリアルタイムで分析し、乗っ取り(成り済まし)のリスクがあると判断した場合には、追加認証を要求する。リスクベース認証は提供するサービスとそのリスクのレベルに応じて認証強度を変更できる。
貴島氏は、「全てにおいてニ段階認証(二要素認証)を導入することは、ビジネスドリブン(ビジネス駆動型)の観点から見ればマイナスになることもあります」と指摘する。
「例えば、デリバリーピザなど、簡単に注文できることをメリットにしているサービスで二段階認証を導入した場合には、2回目の認証要求でユーザーが離脱する可能性があります。日本人は真面目ですから、(今回の事件を受けて)多くの企業が全てのアクセスに、ニ段階認証(二要素認証)を導入することも考えられます。しかし、これではビジネスチャンスを失う可能性がありますし、DX時代に逆行することになりかねません。そのような観点からもリスクベース認証を推奨しています」(貴島氏)