標的型サイバー攻撃を教訓にした認証機能の可能性Maker's Voice

EMC RSAは、認証製品の最新版で企業向けにリスクベース認証機能の提供を発表した。製品を担当する同社のジェフ・カーペンター氏に機能提供の狙いを聞いた。

» 2013年05月08日 08時00分 公開
[國谷武史,ITmedia]

 EMCジャパン RSA事業本部は、認証製品の最新版「RSA Authentication Manager 8」で、「リスクベース認証」機能の提供を発表した。モバイルデバイスやBYOD(私物端末の業務利用)といったユーザー環境の変化への対応、また、標的型サイバー攻撃への対策がその狙いだという。

米EMCのジェフ・カーペンター氏

 リスクベース認証は、固定パスワードや別の認証手段を組み合わせる「多要素認証」の一つで、ログインを要求するユーザーの環境からその真正性を確認する。米EMC RSA事業部門でシニアプロダクトマーケティングマネジャーを務めるジェフ・カーペンター氏によると、同製品のリスクベース認証では主に(1)ユーザーのデバイス、(2)ユーザーの行動、(3)ネットワーク情報、(4)トークン情報――といった観点から「リスクスコア」を算出する。リスクスコアがしきい値を超えた場合に追加認証を行うことで、正規ユーザーであるかをチェックしていく。

 これまでリスクベース認証は、オンライバンキングやeコマースサイト、ソーシャルネットーワークといったコンシューマー向けのオンラインサービスを中心に利用されてきた。例えば、FacebookやGoogleでは普段とは異なる場所からログインすると、すぐに登録済みのメールアドレスへログインが正しいユーザーによるものであるかを確認するメールが送信される。

 コンシューマー向けのオンラインサービスでは正規ユーザーの認証情報が第三者に悪用され、迷惑メールやマルウェアの配布などに使われる問題が多発していた。膨大な数のユーザー規模と多種多様なアクセス環境に提供できる認証方法として、サービス提供企業がリスクベース認証を採用するケースが増えているという。

 多要素認証は、固定パスワードに比べてセキュリティレベルを大幅に高められるが、コストや複雑さ、不便さといった点で企業の社内利用では普及があまり進んでいない。カーペンター氏によれば、企業が多要素認証を適用している従業員の割合は平均で2割ほど。残りの約8割は固定のIDとパスワードによる認証しか利用していない現状があるという。

 EMCはコンシューマーサービスを提供する企業向けに「Adaptive Authentication」というリスクベース認証に対応した製品を販売しているが、今回の製品はリスクベース認証を企業の社内認証に利用できるようにするものとなる。Authentication Managerではリモートアクセスなどのワンタイムパスワード認証などの利用が多く、「リスクベース認証にも対応することで、ユーザー企業では多要素認証の適用先を広げる、あるいは、セキュリティレベルをさらに引き上げることが可能になる」とカーペンター氏は説明する。

 その背景には、企業ではPCに加えてスマートフォンやタブレット端末など、業務に利用するデバイスが多様化していること、また、標的型サイバー攻撃での手口の巧妙化がある。デバイスの多様化ではBYODも含めて企業として一律的にデバイスを管理することが難しくなり、コンシューマー向けオンラインサービスの利用形態に似るようになってきた。標的型サイバー攻撃では犯罪者が正規ユーザーの認証情報を搾取し、正規ユーザーになりすまして機密情報にアクセスする。搾取される情報が正規のものであるだけに、その悪用を検知するのは難しい。

 標的型サイバー攻撃に関しては、2011年に同社の二要素認証製品「SecurID」に関する情報が盗まれたとする事件があった。カーペンター氏は、「事件の詳細は明らかにできないが、この出来事を教訓に堅牢な製品の開発に努力しており、その一例が今回のリスクベース認証になる」と話す。

 「標的型サイバー攻撃を完全に防ぐことは難しいが、対策を強化する手段としては有効だと考えている。製品開発では人間の行動心理に関する研究成果を反映しており、認証情報の悪用を防ぐさまざまな手立ても講じている」(カーペンター氏)

 リスクベース認証は、ユーザーの利用が広がれば広がるほど認証の精度や堅牢性が高まる特性もあるといい、同氏は多要素認証の一つとしての活用を呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ