ベリサインがクラウド型認証サービスを強化、リスクベース認証も利用可能に

従来のワンタイムパスワードによる二要素認証に加え、リスクベース認証も利用できるようになる。

[ITmedia]

　日本ベリサインは11月16日、クラウド型認証サービス「Symantec Validation & ID Protection」を12月1日から提供すると発表した。ワンタイムパスワードによる二要素認証が利用できる従来サービスを強化したもので、新たにリスクベース認証も利用できるようになる。

　リスクベース認証では、「デバイスID」「デバイス指紋」「デバイス信頼性」「行動」の4つの点から認証を要求するユーザーの環境をチェックし、リスクスコアを算出する。スコアが低い場合は正規のユーザーがアクセスしている可能性が高いと判断して、IDとパスワードといった一般的な手段で認証を行う。一方、スコアが高い場合は第三者が正規ユーザーになりすましてアクセスしている可能性が高いと判断し、ワンタイムパスワードなどを使って追加認証を行う。

　リスクスコアは、デバイスIDでは証明書などがインストールされた既知の登録デバイスであるか、デバイス指紋ではOSやWebブラウザなどデバイス構成の変更の有無、デバイス信頼性ではSymantec製のセキュリティソフトの有無（対応製品は今後追加）やアクセス元のIPアドレス、行動では正規ユーザーの日常的なアクセスパターンとの比較――といった点で算出する。リスクの判定にSymantecの脅威データベースを活用。ユーザーはスコアのしきい値を設定してユーザーへの対応内容を変更できるとしている。

　想定される利用シーンは、SSL VPNを使ったリモートアクセスでの認証や、Webを使った企業間取引におけるユーザー認証、コンシューマー向けのオンラインサービスにおけるユーザー認証など。利用価格は100ユーザーの場合で年間32万4000円。ワンタイムパスワードとリスクベース認証のどちらか一方、もしくは両方を利用しても同額となっている。同社では今後3年間で5億円の売り上げを見込んでいる。

平時のアクセス環境ではリスクスコアが低いので通常の手段で認証を実施

前回のログイン場所から物理的に移動が不可能な時間以内に別の場所で認証要求があれば、リスクスコアが高くなり、追加認証を要求する

正規ユーザーでも平時と異なる場所からのアクセスでは追加認証を要求する運用もできる