RSAセキュリティは2009年5月21日,Webログイン認証手続きを簡略化するリスクベース認証ソフト「RSA Adaptive Authentication」の機能を強化したと発表した。新たに,携帯電話によるWebアクセス向けの機能強化を追加した。新機能は6月17日から提供する。価格に変更はなく,250万円(税別)から。
同ソフトは利用者の行動パターンやHTTPクッキーなどの周辺要素を利用して認証手続きを簡略化する。今回の機能強化で携帯電話向けの本人確認機能として,携帯電話の端末固有情報や,携帯電話が使うIPアドレス帯を利用できるようになった。これによりIPアドレスの判定に関して,その時々のアクセスや移動などによりアクセス元のIPアドレスが変動するという携帯電話の特徴を考慮できる。
RSAは同ソフトを「リスクベース認証」と位置付ける。これはサイト利用者の行動が普段と異なることを検知する機能を意味する。利用者に負担をかけずに高いセキュリティを確保するのが狙いである。同社はリスクベース認証以外にもワンタイム・パスワードなどによる認証手段を提供している。こちらはセキュリティが高い一方で,利用者の認証手続きが煩雑となる。
リスクベース認証の典型的な使い方では,第1段階として,HTTPクッキーやIPアドレス,ブラック・リスト照合,などを点数化して,本人によるアクセスかどうかを判定する。異なる環境からのアクセスなど,なりすましの可能性がある場合は,本人確認のための追加認証を実施する。正規の利用者しか知り得ない質問を投げかけたり,電話/電子メールを送る。
