日本ベリサインは2011年11月16日、端末認証クラウドサービスを強化し、アクセス元端末のOSやブラウザの種類、IPアドレス、利用場所などをチェックする「リスクベース認証」の機能を追加すると発表した。これまでワンタイムパスワード認証サービス「ベリサイン アイデンティティプロテクション」として提供していたが、機能強化を機にサービス名を「Symantec Validation & ID Protection」とし、12月1日に提供を開始する。

  Validation & ID Protectionは、企業がインターネットから社内ネットワークやサーバーにアクセスしようとするPCやスマートフォンを認証するためのサービス。いったんベリサインのサーバーで認証し、成功したら社内ネットやサーバーへのアクセスを許可する仕組みを実現する。

 新たに搭載するリスクベース認証技術は、これまでベリサインが金融機関向けに提供し、オンラインバンキングなどの不正利用を防ぐために使われているもの。これを改修し、一般的なWebアクセスやSSL-VPNの認証で利用できるようにした。従来提供していたワンタイムパスワード認証と組み合わせて利用できる。

 リスクベース認証時にチェックするのは、四つの要素である。電子証明書やMACアドレスなどの「デバイスID」、OSやブラウザなどの「デバイス指紋」、シマンテック製ウイルス対策ソフトの状態や使用しているIPアドレスなどの「デバイス信頼性」、端末の使い方に不自然さはないかの「行動」である。

 このうち「行動」については、過去の認証履歴などから不自然さをチェックする。例えば、1時間前に都内からアクセスしていた端末が、欧州からアクセスしようとした場合、なりすましのリスクが高いと判定する。

 四つの要素においてそれぞれリスクを分析し、リスクが高いと判断したユーザーに対しては、さらにワンタイムパスワード認証を求めるといったことが可能になる。ワンタイムパスワード認証をする場合は、あらかじめユーザーごとに設定したメールアドレスに、ワンタイムパスワードを送信。ユーザーがそれを入力すると、認証に成功する。

 料金は、100ユーザーの場合年間32万4000円である。ワンタイムパスワード認証と、リスクベース認証、どちらも利用できる。ベリサインは今後3年間で5億円の売り上げを目指す。