米RSA Securityが提供する金融機関向けなどのセキュリティ製品が好調だ。RSAはコンシューマーソリューションとして金融機関向けなどにフィッシングやファーミング対策、個人認証、リスク管理といったセキュリティ製品を提供している。これらの製品は、ワールドワイドで3,500の金融機関が利用、オンラインバンキングでは1億口座を保護するなど、「大成功」(RSAセキュリティ・山野修社長)を収めている。

この分野でRSAは、「RSA FraudAction」「RSA Adaptive Authentication for Web」「RSA Transaction Monitoring」を提供。これらの製品は金融機関らが参加する不正行為の情報を共有する「RSA eFraudNetwork」が下支えしており、たとえばある銀行で不正行為が行われた場合、その情報が共有されるので、別の銀行で同様の行為が行われるとすぐに検知できる、などのメリットがある。

こうした製品を利用することで、「金融機関はエンドユーザーからの信頼の獲得とオンライン取引の保護を実現できる」(RSA Security・Christopher Young氏)という。米国から南米、欧州などで3,500の金融機関が利用。保護されているオンラインバンキングの口座数は18カ月前の100万口座から、わずか1年半で1億口座を突破したのだそうだ。

特に米国では、FFIEC(連邦金融機関検査協議会)がオンラインバンキング、Eトレード、ネット上の保険販売で個人認証を強化するようガイドラインを制定したことから、個人認証の分野で導入例が急増、「爆発的に採用が広がった」(同)という。

日本でも金融庁がオンラインバンキングのセキュリティ強化の方針を示していることから、米国に似た状況に推移していくと見られているが、実際、「ここ数カ月で金融機関のワンタイムパスワードの採用例が増えている」(同)という。具体的には日興コーディアル証券のような証券会社から三井住友銀行、信金らの採用が進んでいるほか、NTTデータや日立製作所らが提供するオンラインバンキング向けASPサービスでも採用が決まり、今後ワンタイムパスワードを採用する銀行が増える見込みだ。

国内のワンタイムパスワードとAdaptive Authenticationの採用例

また、国内初のRSA Adaptive Authenticationの採用例として、来春からみずほ銀行が導入を決めており、ほかの大手銀行や地方銀行などとも話し合いを進めているそうだ。

これまでのセキュリティはVPNやファイアウォール、IDS(侵入検知システム)やウイルス対策など、外部との境界を防御する仕組みが主だったが、これに加えて認証やアクセス管理、暗号化などで情報を管理して保護する「情報中心型セキュリティ」を考える必要がある、と山野社長は語る。

境界中心型のセキュリティと情報中心型セキュリティの両面が必要、と山野社長

今年後半には、データベースの暗号化ツール「RSA Database Security Manager」を提供。既存のデータベースにアダプターの形で組み込み、テーブルの一部だけを暗号化する、といったことが可能で、たとえば金融機関が顧客データをデータベースに保存している場合、データベースの管理者でも口座番号や住所といった情報の一部にはアクセスできないようにできるなど、情報のアクセスを制御できる。

Database Security Manager

さらにファイアウォールやネットワーク機器、ストレージなどのさまざまなシステムのログを集中管理する「RSA Security & Compliance Platform」も提供する予定。異なるシステム間のログを分析し、セキュリティポリシーに従っていないイベントをリアルタイムに抽出して警告できる。大量のログを高速に収集、圧縮してコンパクトにデータを格納できるほか、レポートの作成にも対応。今年第3四半期以降に正式発表する予定だとしている。

Security & Compliance Platform