日本ベリサインは,オンライン決済を伴うWebサイトの運営者に向けて,不正に入手したID/パスワードを使われにくくするサービス「VIPオンライン詐欺検出サービス」を,2006年10月から提供する。価格は1000ユーザー数百万円から。初年度10件で2億円の販売を見込む。ユーザー認証に関する総合サービス体系「VeriSign Identity Protection」(VIP)ブランドを構成する1サービスとして位置付ける。
VIPオンライン詐欺検出サービスは,Webサイトを利用するためのユーザーID/パスワードを不正な手段で入手して使用する“オンライン詐欺”を防止するための機能をWebサイトに提供するサービス。具体的には,正規の利用者とは異なる使い方を検知すると,パスワード以外の別の方法で認証をうながす。これにより,なりすましによるオンライン詐欺を効果的に防げるという。
パスワード以外の認証は,ユーザーがあらかじめ設定しておける。例えば,ユーザーの携帯電話にダイヤルアップし,一時的な認証コードを機械音声で流す方法がある。この場合,ユーザーは音声ガイダンスで得られた認証コードをWeb画面に入力することで,本人確認を完了できる。ユーザーの個人情報を利用したQ&A方式の本人確認も,個人情報を知る人には効果が薄いが,業者や業者からリストを購入した不正アクセスに対しては効果が高いだろう。
パスワード以外の認証を実施するかどうかの判断は,不自然なアクセスや,普段のユーザーの行動パターンを外れたアクセスを基にする。例えば,距離が離れており物理的に移動不可能な場所から短時間に複数の認証アクセスがあった場合や,分単位など非常に短い時間内で連続して何回もアクセスがあった時,いつもと違うブラウザ,IPアドレスを利用した時,などである。
このほか,VIPブランドでは,ワンタイム・パスワード認証のASP(アプリケーション・サービス・プロバイダ)サービスの新版「VIPストロングオーセンティケーションサービス」を,2006年10月から提供する。新版では,ワンタイム・パスワード発生用のトークンとして新たに携帯電話を利用できるようにした。ソフトウエア・トークンを携帯電話のアプリケーションの形で実装したことで,ユーザーの選択肢と利便性が向上する。これまでは,ハードウエア・トークンかパソコン用ソフトウエア・トークンに限られていた。価格は1000ユーザー数百万円からで初年度20社2億円の売上を見込む。
なお,ASP型でワンタイム・パスワード認証サービスを提供することによるユーザーのメリットは,複数のWebサイト運営会社が同一のサービスを利用することで,ユーザーが保持するトークンの数を減らせることにある。Webサイトごとに別々のトークンを持つ必要がなくなる。一方,Webサイト運営会社のメリットは,トークンの発行や有効期限の管理などの運用コストを削減できる点である。
