EMCジャパンは6月20日、認証システム「RSA SecurID Access」に、複数の判定要素をリアルタイムに分析してログインの可否を動的に判断するリスクベース認証機能を追加した最新版の提供を開始すると発表した。
「RSA SecurID Access」は、「シングルサインオン」「クラウド、オンプレミスとさまざまなリソースへのアクセス」「モバイル多要素認証」「アイデンティティ保証」といった特徴を備え、オンプレミスとクラウドのアプリケーションのログインをシングルサインオンで一元化する。
RSA事業本部 マーケティング部 部長の水村明博氏は、最新版にリスクベースの認証機能を追加した背景には、昨今、企業において認証システムの見直しが進んでいることがあると説明した。
企業が認証システムを見直す理由としては「サイバー攻撃においてIDとパスワードが狙われる機会が増えている」「パスワードが脆弱かつ使いまわしの傾向が高い」「クラウドアプリの活用が進み、企業で利用するアプリの数が増えている」の3点が挙げられた。
水村氏は、「リスクベース認証はネットバンキングやネットショッピングの普及により、消費者が使えるほど身近になった。また、モバイルデバイスの普及により、モバイルデバイスによるアプリのアクセスやデバイスを認証に利用できることも可能になった。また、クラウド活用によるアプリの増加に伴い、シングルサインオンと認証の強化が検討されるようになっているほか、認証の使いやすさも求められている。こうした理由から、われわれはリスクベース認証に注目している」と語った。
新機能については、RSA事業本部 システムズエンジニアリング部 部長の八束啓文氏が説明した。
動的なリスクベース認証機能においては、「地理情報(モバイル端末の場合、GPS情報で判断)」「利用デバイス(ブラウザの種類、プラグインの数、画面の解像度他により日頃のデバイスかを判断)」「時間帯(ログイン時の時刻)」「IPアドレス(接続元のIPアドレス)」「ログイン先アプリケーション(利用頻度等で判断)」「アクセスパターン」の属性情報を用いて分析を行い、リスクを判定する。
リスク判定は、認証要求時にリアルタイムで分析エンジン「Identity Assurance Engine」が分析と評価を行う。
これにより、静的なルールベースの評価では得られない、ユーザー毎のビヘイビア(ふるまい)や利用環境のリスク分析も含んだ信頼度の高い認証が可能
ちなみに、同製品はこれまでも静的なルールベースのリスク分析は行っていた。動的なルールベースの評価は、静的なルールベースの評価では得られない、ユーザーごとのビヘイビア(ふるまい)や利用環境のリスク分析も含んだ信頼度の高い認証が可能になるという。
そして、リスクが高いと判断された認証要求にのみ、ユーザーに追加の認証が課される。追加認証には、RSA SecurIDによるワンタイムパスワード、FIDOトークン、プッシュ認証、バイオメトリック認証を利用できる。
ただし、八束氏は「動的な分析が静的な分析よりも全面的に優れているわけではない」と指摘した。静的な分析では、事前に設定してルールが用いられるが、ルールにはユーザー属性やアプリケーションの重要度といったコンテキスト情報を含めることができる。これに対し、動的な分析では過去のデータを基にふるまいを分析するので、コンテキスト情報を含めることができない。そこで、「RSA SecurID Access」では、静的な分析と動的な分析を合わせることで、より高度な分析が可能になるという。
「RSA SecurID Access」最新版のもう1つの特徴が「1つのオーセンティケーターですべての認証ポイントをサポート」だ。ユーザーの利便性向上を狙っての機能強化だ。これにより、クラウドとオンプレミスのWebアプリケーションの認証に加え、SecureIDでサポートしていたITリソースも同一のモバイルアプリケーションによる認証で保護が可能になる。
「RSA SecurID Access」は「ベース」「エンタープライズ」「プレミアム」と3つのエディションを提供しているが、リスクベース認証に対応しているのは「プレミアム」となる。
プレミアム エディションはサブスクリプションモデル(契約期間は1年)をとっており、価格は1000ユーザーで745万2000円から(価格に消費税、保守料金は含まれない)。RSA SecurIDを利用中の場合は、249万6000円から(使用中のライセンス、保守期間などにより異なる。税別)。