EMCジャパン RSA事業本部本部長 山田秀樹氏

EMCジャパンは5月10日、SSL VPN/Webポータルにおけるユーザー認証を複数の要素で分析してリスクを判定し、認証の可否を決定するアプライアンス型リスクベース認証サーバ「RSA Authentication Manager Express 1.0」を販売開始し、8月22日より提供を開始すると発表した。

RSA事業本部本部長の山田秀樹氏は、同製品を提供する背景について、「日本では、オフショアの増加などから労働集約型ビジネスが減ってきているうえ、在宅勤務の増加などワークスタイルの変化も生まれている。こうしたことから、セキュリティリスクを認識していながら、コストやリソース不足から手を打てずにいた中堅・中小企業も対策を講じる必要が出てきている」と説明した。

東日本大震災以降、在宅勤務などに備える企業が増えたためか、同社ではリモートアクセス製品の需要が増えているという。

EMCジャパン マーケティング部 シニア・マーケティングプログラム・マネージャー 水村明博氏

同製品の詳細については、マーケティング部シニア・マーケティングプログラム・マネージャーの水村明博氏が説明を行った。

同製品では、ユーザーが知っているもの(IDと固定パスワード)、ユーザーが持っているもの(PCなど利用端末のデバイスプロファイル)とユーザのー行動(過去の認証履歴や移動プロファイル)の3点によって、認証に伴うリスクを判定する。これらのうち、ユーザーが認識していなければならないのはIDとパスワードのみであり、水村氏は「ユーザーの利便性を損なうことなく、不正アクセスのリスクを低減できる」と、同製品の特徴をアピールした。

同製品では、上記の3要素によるリスク判定を行った際、リスクが低いと評価されたらログインが完了するが、リスクが高いと評価されたら追加認証が行われる。追加認証は、本人のみが知る情報などの「秘密の質問」もしくはワンタイムパスワードなどの「On-Demandトークン」による認証となる。

On-Demandトークン認証は、RSA SecureIDのテクノロジーが利用されており、必要な時にワンタイムパスワードを送信するほか、PIN番号と指定した携帯電話番号か電子メールアドレスへ送られるトークンコードによる2要素認証を提供する。

RSA Authentication Manager Express 1.0のリスクベース認証の仕組み

RSA Authentication Manager Express 1.0でリスクを判定する要素

リスクを判定するエンジンは、もともと同社が金融機関を中心に2億5,000万ユーザーに提供しているものを企業向けに最適化したもの。認証が行われるごとに情報を収集する「自己学習能力」を備えている。利用を開始してから14日間はセルフラーニング期間として、追加認証を行わずにユーザーのプロファイルを収集する。

標準提供価格は、ユーザー数により異なりライセンス単位となる。ライセンスの単位は25、50、100、 150、250、500、750、1,000、1,500、2,000、2,500で、25ユーザーで31万円、100ユーザーで115万円(いずれも3年分のハードウェア保守費用は含まれているが、ソフトウェア保守費用は含まれていない)。

RSA Authentication Manager Express 1.0