RSA Security、状況に応じた「アダプティブな認証」を提唱：RSA Conference 2006

米RSA Securityの社長兼CEO、アート・コビエロ氏は、RSA Conference 2006の基調講演において「アダプティブな認証」というアプローチを紹介した。

[高橋睦美，ITmedia]

　「1つの方式をすべてに当てはめるのではなく、トランザクションの性質や求められるセキュリティレベルに応じて、それぞれ異なる認証が必要だ」――米RSA Securityの社長兼CEO、アート・コビエロ氏は、RSA Conference 2006の基調講演の中でこのように語った。

　コビエロ氏が提唱するのは「多層的で、リスクに基づくアダプティブな認証」というアプローチだ。時と場合に応じて、複数の選択肢の中から最適な方法を用いて認証を行えるようにすることが、その目標である。

米RSA Securityのコビエロ氏は「状況やセキュリティレベルに応じたアダプティブな認証が必要」と述べた

　同氏は、現実の世界を例えに使った。「飛行機の搭乗手続きとレンタカーの貸し出し、ホテルのチェックインとでは、提出を求められる身分証明書が異なるように、必要なセキュリティやコンテキストに応じて適切な認証方式を利用できることが望ましい」（同氏）。それは、信頼モデルを確立するだけでなく、オンラインコマースの利便性や柔軟性を損なわないものでなければならないという。

　コビエロ氏はさらに、このようなインテリジェントな認証インフラを実現していくにはコミュニティに基づく情報や知識の共有が必要だとも述べた。これも、現実の世界における指名手配情報のように、「オンラインの不正行為に関する情報を共有し、ブラックリストを作成してそれに基づいて保護するといった具合に、知恵を共有することが重要だ」（同氏）

　このようなインテリジェントな認証インフラとネットワークによって「インターネットは摩擦の生じる場所ではなく、現実世界同様、ビジネスを展開するのに十分安全な場所になる」（同氏）

手元の機器をトークンに

　RSA Securityは、コビエロ氏が提唱する「リスクに基づくアダプティブな認証」の実現に向け、いくつかアナウンスも行っている。

　まず、既存のさまざまな携帯電話やメモリなどを「SecurID」と同様のワンタイムパスワードトークンとして利用できることを目指し、Motorolaをはじめとする数社と提携を結んだ。既に日本法人のRSAセキュリティとNTTデータが、携帯電話版ワンタイムパスワードの開発に関して協業することを発表済みだが、同様の取り組みが幅広くなされることになる。

　具体的には、MotorolaとともにSecurIDソフトウェアが動作する携帯電話の開発を進めるほか、SanDiskやRedCannon Securityとは、SecurID技術を搭載したフラッシュメモリやUSBメモリの提供で協業。携帯電話向けのチップ／メモリを開発しているRenesas Technologyとも提携を結んでいる。さらにResearch In Motionともパートナーシップを結び、「BlackBerry」上でSecurIDをサポートしていく。

　他に、ツールバータイプのトークン「RSA SecurID Toolbar Token」もリリースされた。インターネットからダウンロードしてすぐに利用できる点が特徴だ。Webブラウザのツールバー上にワンタイムパスワードが表示される仕組みで、当初はFirefox版のみのリリースだが、近日中にInternet Explorer版も提供する予定という。

Toolbar Tokenのデモンストレーション

　RSA Securityでは一連の新製品によって、「PCやPDAなどとは別にトークンを持ち歩く必要がなくなり、1つのデバイスですべてまかなえるようになる」と説明。既に普及しているなじみのあるさまざまな機器をそのまま、ワンタイムパスワードトークンとして活用できる点がメリットだとしている。