セキュアスカイ・テクノロジーは2014年2月26日、同社が運営しているSaaS型のWAF(Webアプリケーションファイアウォール)サービス「Scutum」を強化し、Webサイトへのログイン認証時に二要素認証を使えるようにすると発表した。4月からCAPTCHA(キャプチャ)認証を、6月からSMS(ショートメッセージサービス)認証を開始する。
Scutumは、WebアプリケーションをSQLインジェクションなどの不正アクセスから防御するWAF機能を、インターネット上のクラウドサービスとして提供するもの。DNSの情報を書き換えるだけで導入できる(WebサイトのIPアドレスとして、SaaS型WAFのIPアドレスを指定する)。サーバー証明書と秘密鍵を提出すれば、SSL通信も検閲する。
今回の機能強化では、二要素認証のためのオプションを追加した。具体的には、Webサイトが備えるオリジナルのログイン認証手段とは別に、これを補完してセキュリティを高める新たな認証手続きを追加できるようにした(写真)。動作としては、WAFがWebサイトのログイン認証手続きに介入し、WAFによる新たな認証手続きにパスした場合に限って、Webサイトのログイン認証手続きを継続する。
オリジナルの認証手続きをCAPTCHA/SMSで補完
追加認証の手段に応じて、二つのオプションを用意した。4月からは、ひらがなによるキャプチャ認証を開始する。人間には読めるが機械には読みにくい図柄でひらがなを表示し、表示されているひらがなを入力して合致すれば認証をパスできる。6月にはSMS認証を開始する。携帯電話番号あてにSMSで一時的な暗証番号を送信し、この番号を入力することで認証をパスできる。SMSの基盤として、KDDIウェブコミュニケーションズのTwilioを利用する。
