PKI(公開鍵暗号)やワンタイム・パスワードなど,ユーザー認証に関連する製品を中核とするRSAセキュリティは今後,データベース・サーバーのアクセス権限管理や情報システムのログ収集/分析といった汎用のデータ・セキュリティ製品分野に進出する。オンライン・バンキング事業を展開する金融機関向けのユーザー認証製品とともに,内部統制/コンプライアンスの需要を狙う。
具体的には,データベース・サーバーに対するアクセス権限を管理するソフト「Database Security Manager」と,ログ収集/分析アプライアンス「Security & Compliance Platform」を市場に投入する。詳細はまだ不明だが,前者は,データ暗号化などの手法により,データベース管理者とセキュリティ管理者の権限を分離して運用できるようにする。後者は,ログの収集/分析に加え,その結果に基づいてリアルタイムに警告を出す,といった運用も可能である。
こうした企業向けの汎用データ・セキュリティ製品に加え,金融機関向けのユーザー認証製品にも引き続き注力する。同社は2006年11月に,Webサイトとサイト利用者が相互に認証し合えるようにするツール「Adaptive Authentication for Web」を出荷した。その背景には,インターネット・バンキングの利用者に成りすまして不正にお金を引き出すフィッシング詐欺が急増している,という状況がある。金融庁もフィッシング対策に触れた監督指針案を2006年12月15日に公開している。
Adaptive Authentication for Webの主な機能は,リスク・ベース認証とユーザーによるサイト認証。いずれも,ワンタイム・パスワードや乱数表ベースの一時パスワードなどと異なり,サイト利用者に特別なアクションを起こさせる必要がないため,導入が容易いという特徴がある。
リスク・ベース認証は,サイト利用者の行動が普段と異なることを検知するというもの。成りすましの可能性が高いと判断した場合は,電話やメールなど他の代替認証を実施する。ユーザーによるサイト認証は,利用者があらかじめ指定しておいた画像をWebブラウザに表示するというもの。自分が指定した画像がWebサイトに表示されていることを確認することで,本物のWeb サイトであると見なす。
