ITmedia NEWS >

「パスワード+トークン」の認証サービス、AOLとVeriSignが立ち上げ

» 2004年09月21日 18時36分 公開
[IDG Japan]
IDG

 ネット商取引に対する世間の信用を損ないかねないオンライン詐欺や個人情報盗難に対し、大手数社が顧客、企業パートナー、従業員をより適切にオンラインで認証する新サービスを立ち上げる。

 米RSA Securityと米America Online(AOL)は9月21日(米国時間)、安全なトークンを使ってAOL会員のアカウント情報を守る新プログラム「AOL PassCode」を発表する計画だ。またこの日は米VeriSignも「Unified Authentication」と呼ばれる新サービスを発表する。このサービスは、ワンタイムパスワードやスマートカードなどの「強力な認証」のコストを削減すると同社は主張している。

 これらの発表は、「ツーファクター認証」の採用に対する企業やオンライン商店の関心が高まっていることの表れだ。ツーファクター認証とは、パスワードを別の「ファクター」(スマートカードやUSBトークン、ワンタイムパスワードなど)と組み合わせて、ユーザーから重要な金融情報をだまし取ろうとするオンライン犯罪の急増に対抗しようとするものだ。

 PassCodeプログラムでは、RSAがAOLブランドのSecurIDトークンをAOL会員に提供し、アカウント保護を強化するとRSAの国際マーケティング担当副社長ジョン・ウォレル氏。マルチファクター認証がコンシューマー向けに大規模導入されるのはこれが初めてだとAOLの有料サービス担当上級副社長ネッド・ブロディ氏は語る。

 AOL会員は、AOLのWebページでPassCodeサービスにサインアップし、9ドル95セントを支払う(1回のみ)と郵送でキーチェーントークンが送られてくる。PassCode経由の認証には、1アカウント当たり月額1ドル95セントかかる。月額4ドル95セント支払うと、最大で7アカウントまでPassCode認証を利用できる。

 トークンを受け取ると、会員は自分のAOLアカウントを介してトークンをアクティベートできる。それから自分のAOLアカウントとパスワードでログインすると、トークンに表示されている6けたの数字を入力するよう求める画面が表示される。AOLはSecurIDトークンとAOLアカウントを関連付け、トークンが生成するパスワードを追跡記録するデータベースを維持している。トークンが生成するパスワードは60秒ごとに変更される。

 このシステムではユーザー名とパスワードだけではアカウントにアクセスできないため、会員がフィッシング詐欺でAOLアカウント情報を利用されるのを防止できるとブロディ氏は語る。

 トークンを紛失した会員は、AOLのサイト上で一連の質問に答えると自分のアカウントとそのトークンを「アンバインド(リンク解除)」でき、代わりのトークンを要求できるとブロディ氏は説明する。

 AOLは既に先週この技術の小規模なテストリリースを行っているが、本格的なマーケティングは21日の発表とともに開始する。同社はトークンの売上予測は立てていないが、内部調査と昨年末のテストでは、トークン購入意欲は「驚異的」だったという。

 AOLは18カ月前から「AOL Virus Protection」など一連の有料サービスを投入しており、向こう数カ月でさらにセキュリティサービスを投入する計画。PassCodeサービスをAOL会員が利用するほかの電子商取引サービスに拡大する方法も検討している。

 一方、VeriSignの企業向けプログラム「Unified Authentication」でも、マルチファクター認証は焦点となっている。この新サービスは、企業ネットワークセキュリティ情報・ツールを提供する同社の「Intelligence and ControlSM Services」の延長となるものだ。

 このサービスを使うと、企業はMicrosoftのActive DirectoryやRadiusサーバなどの既存のユーザーディレクトリサービスや、IBMのTivoli Identity Managementなどのシングルサインオン技術を使い、VeriSignのインフラでユーザーの強力な認証情報を確認できるとVeriSignは説明している。

 ユーザーのログイン・許可情報は顧客のユーザーディレクトリに置かれるが、これをVeriSignサーバに格納されているトークンなどのシリアル番号と関連付ける。ユーザーからのログイン要求はこのVeriSignサーバに渡され、このサーバ内のアルゴリズムがトークンのシリアル番号またはワンタイムパスワードとアクセスを要求したユーザーを確認すると、VeriSignのセキュリティサービス担当副社長マーク・グリフィス氏は語る。

 顧客はこのサービスを社内で導入するか、またはVeriSignがホスティングするマネージドサービスとして利用するかを選べる。

 このサービスでは初め、電子証明書を含むUSBスマートカードか、インターネットキオスク、ホームコンピュータ、PDAで使うたびに一意のパスワードを生成するクライアント不要のワンタイムパスワードトークンを利用する。証明書内蔵の携帯電話や、ワンタイムパスワードを含むスクラッチカードのような低コストの「ソフト証明書」などのサポートも追加される予定だとグリフィス氏。

 バックエンドでは、VeriSignはMicrosoftの「Management Console」向けに、特定の強力な認証デバイスとユーザーアカウントを関連付けて認証できるプラグインを配布する。Active DirectoryやLDAPディレクトリからの認証要求をUnified Authenticationに転送するプラグインも提供するという。

 VeriSignのサービスは企業向けで、AOLのサービスはコンシューマーに焦点をあてているが、いずれもマルチファクター認証とPKI(公開暗号鍵)技術の競争激化の兆候だと、Forrester Researchのアナリスト、ローラ・コーツル氏は指摘する。

 同氏によると、これらは長らく、非常に高コストで難しいため実装は不可能だとされてきたが、フィッシング詐欺やハッキングにいら立つ企業やコンシューマーの注目を集めつつあるという。

Copyright(C) IDG Japan, Inc. All Rights Reserved.