CA Technologiesは2014年3月10日、SSO(シングルサインオン)ソフトの新版「CA SiteMinder r12.52」を発表、同日出荷した。新版では、正しい端末からアクセスしているかどうかを検査する機能を追加し、セッションを乗っ取る攻撃などに対するセキュリティを高めた。さらに、ソーシャルID連携を強化し、OAuthに加えてOpenIDのソーシャルIDを使ってログインできるようにした。

 SiteMinderは、複数のWebシステムへのログイン手続きを一つにまとめるSSOソフトである(関連記事:CA、プロキシもエージェントも使わない方式を追加したSSOソフト新版を発表)。SaaSを含む各種の業務システムへのログイン手続きを簡素化できる。特徴の一つは、動作形態が柔軟なこと。一般的なリバースプロキシ型とエージェント型の二つの仕組みに加えて、このいずれでもないエージェントレス型のSSO手続きを利用できる。

 エージェントレス型のSSOは、CookieとREST APIの仕組みだけを使って動作する。ユーザーのログイン認証はSSOサーバーが実施し、認証情報をCookieでログイン対象システムに受け渡す仕組みである。認証後は、クライアントから直接Webシステムにアクセスする。

デバイスが正しいかどうかを検査

 今回の新版では、セキュリティを高める機能強化として、ログインユーザーが使っている端末/デバイスが登録済みの端末かどうかを検査するデバイス認証機能を追加した。一連のセッション中に、セッション開始時とは異なるデバイスからのトランザクションを検知した場合、そのセッションを無効化する。同機能は、同社のリスクベース認証ソフト「CA RiskMinder」が備えるデバイス認証機能「DeviceDNA」をそのまま流用したものである。

 端末の認証方法としては、RiskMinderが各デバイスごとに割り当てるユニークなIDである「Device ID」と、認証要求時にデバイスから取得できるデバイス固有のインベントリー情報「MFP(Machine Finger Print)」の二つの情報を組み合わせて利用する。いずれも、JavaScriptを使ってCookieとして保管する。

 参考価格(税別)は、社内システム(自社の社員やグループ企業の社員が利用)向けのビジネスユーザーライセンスの場合、1000ユーザーで325万円。これとは別に、一般消費者がログインするシステムに適用するコンシューマーライセンスも用意している。