EMCジャパンRSA事業本部は2017年6月20日、業務システムにログインする際のユーザー認証機能とSSO(シングルサインオン)機能を提供するサーバー製品「RSA SecurID Access」の新版を発表、同日提供を開始した。ログイン時のユーザー環境や振る舞いがいつもと違う場合に追加認証を実施する、リスクベース認証機能を搭載した。
SecurID Accessは複数のコンポーネントやサービスを組み合わせた認証製品。OTP(ワンタイムパスワード)によるユーザー認証、スマートフォンを活用したプッシュ通知や生体認証などの多要素認証、ログイン時のユーザー環境を元に本人性を判定するルールベース認証といった機能を提供するとともに、業務システムに対するログイン手続きを簡素化するSSO機能を提供する。
新版ではルールベース認証機能を強化した。これまでもアクセス元のIPアドレスや場所、アクセスに使っている端末などをあらかじめルールとして記述しておくことで、設定した条件と異なる場合に成りすましを疑い、追加認証を実施できていた。今回の強化では、あらかじめ管理者が設定する静的なルールとは別に、アクセス環境がいつもと異なるかどうかを動的に分析できるようにした。過去のログイン情報から傾向を分析する。
新版ではさらに、プッシュ通知によるWebアプリケーションへのログインや、OTPによるVPNルーターへのログインなど、従来はアクセス対象ごとに分かれていた認証手段を統合し、各システムに対するログインを単一の認証手段でまかなえるようにした。システムに応じて複数の認証手段を使い分ける必要がなくなった。
最上位エディションでリスクベース認証を利用可能
製品は三つのエディションで構成する。「ベース・エディション」はOTPによる認証機能を提供する。「エンタープライズ・エディション」はOTPを大規模システムでも使えるようにするとともに、スマホによる多要素認証やSSO機能を提供する。「プレミアム・エディション」ではさらに、ルールベース/リスクベース認証機能を提供する。
価格(税別)はリスクベース認証機能を備えたプレミアム・エディションの場合、代表的なボリュームである1000ユーザー時に年額745万2000円からで、OTP認証製品であるRSA SecurIDを利用中の場合は年額249万6000円から。最小ユーザー数はエンタープライズ・エディションでSSOを使う場合に100ユーザー。
提供形態は認証やSSO機能を提供するゲートウエイがVMware仮想アプライアンスで、背後で動作する認証サーバーがVMware仮想アプライアンスまたはハードウエアアプライアンス。スマホによる多要素認証の仕組みなどはSaaS型でクラウドを介して提供する。
ID/パスワード以外の追加認証を利便性を損なわずに提供
リスクベース認証を強化した背景について、EMCジャパンRSA事業本部マーケティング部部長の水村明博氏は、「昨今のサイバーセキュリティの状況から認証システムが見直されている」と説明する。
IDとパスワード以外の認証手段が求められるようになったという。「盗まれたIDとパスワードが犯罪に使われるケースが多い。IDとパスワードを奪取するフィッシング詐欺も増えている。そもそも脆弱なパスワードが多く、使い回しも多い。ログイン先となるクラウドアプリケーションも増えている」(水村氏)。
このうえで、すべてのログインに対して追加認証を実施していると利便性が損なわれるので、成りすましの可能性を検知した場合に限って追加認証を実施するリスクベース認証が求められる。「リスクベース認証はインターネットバンキングですでに一般化しているので、企業でも使える。スマートフォンが普及しているので、スマートフォンによる多要素認証も容易だ」(水村氏)。
