ワンタイムパスワードがUSBメモリと合体へRSA Conference 2005

RSA Conference 2005に合わせて2つの有力なプレイヤーが、それぞれ認証技術に関する新たな発表を行った。

» 2005年02月16日 23時14分 公開
[高橋睦美,ITmedia]

 「認証は、あらゆる相互交流のもっとも根本的な基盤である」(米RSA Securityの社長兼CEO、アート・コビエロ氏)。この言葉を裏付けるように、RSA Conference 2005に合わせて2つの有力なプレイヤーが、それぞれ認証技術に関する新たな戦略を発表した。

 一連の戦略は「強力な認証は、企業向けアイデンティティ/アクセス管理の土台であるだけでなく、コンシューマーからも求められている」(コビエロ氏)という考え方に基づくもの。作成から管理、活用にいたるまで、認証のライフサイクル全体をサポートするという。

 米RSA Securityは、既存の製品に比べて35%小型化したワンタイムパスワードトークン「RSA SecurID SID700」およびUSBメモリと一体化した「RSA SecurID SID800」を発表した。特に後者は、内部に電子証明書などを格納してさらに強力な認証を実現できるほか、表示されるパスコードを手で入力せずとも自動的にPCに転送する機能もサポートするといい、第2四半期にリリースされる予定だ。

アプライアンス カンファレンスの直前にリリースされた中小企業向けの認証アプライアンス製品。これも一連の戦略を形作るものだという

 同時に、同社のトークンを用いたワンタイムパスワード方式を、サードパーティ製のさまざまなシステムに統合していくための仕様を公開し、標準化に向けた取り組みを開始することを発表した。

 具体的には、ワンタイムパスワード情報のプロビジョニングと検索、検証および転送、管理などに関する仕様を公開。さまざまなアプリケーションとの連携を実現して運用コストを削減するだけでなく、複数のWebサイトにまたがるシームレスなアクセスにつなげていくことが狙いだ。

 既にAdobe SystemsやCheck Point Software Technologies、Cisco SystemsやMicrosoftといった企業がこの動きに賛同している。またRSA Securityでは、IETFおよびOASISに仕様を提出し、標準化活動を進めていく計画だ。

 同社はまた、サービスプロバイダーや事業者経由で新たな認証サービスを提供していく計画も明らかにしている。コンシューマーがオンラインショッピングなどを行う際、IDとパスワードの組み合わせではなく、ワンタイムパスワードを利用してより強力な認証を行えるよう支援するものだ。

 表に出るのは消費者向けサービスを提供するISPやオンラインサービス事業者のブランド名で、RSA Securityはそのバックエンドで認証サービスを提供する。E-TradeやYahoo!などが採用を表明しており、パイロットプログラムを経て2005年第3四半期に開始される予定だ。日本でも同様の枠組みを実現すべく、事業者との話し合いが開始されたところだという。

 RSA Securityはこの前日、オンラインサービスにおけるセキュリティやID窃盗に対する消費者の懸念が高まっているとする調査結果を公開している(2月15日の記事参照)。今回発表されたサービスは、その懸念を解消することを狙ったものだ。

 発表の席では米Gartnerのアナリストが、「これまで、PCごとの盗難などオフラインの世界で発生することが多いと考えられてきたIDの盗難が、オンラインの世界でも急増しつつある」と述べ、今後2年間で金融機関の4分の3が、パスワードよりも強力な認証を導入するだろうとの予測を披露した。

VeriSignも新製品を投入

 一方米VeriSignも、2種類のワンタイムパスワードトークンを発表した。

 同社は昨年のRSA Conferenceで、トークンを用いた新たな認証アーキテクチャ「Open Authentication Reference Architecture」(OATH)を発表し、RSA Securityに対抗する姿勢を明らかにしていた。

 今回リリースされた2種類のトークンもOATH仕様に基づくものだ。1つは、価格を抑えた小型のワンタイムパスワードトークン。もう1つはUSBメモリとしても利用可能なトークンだ。ストレージとしての利用に加え、RSAのSID800同様、電子証明書を格納して高度な認証を行うこともできる。

VeriSignのトークン VeriSignが発表したワンタイムパスワードトークン。「価格の競争力は非常に高い」という

 同社はこれら新製品は、「OATHというオープンな仕様に基づいている」と説明する。また、Windowsログインの制御が可能な上、Outlook Web Accessとの連携が可能なこと、802.1x(EAP-TLS)をサポートしており安全な無線LAN環境を実現できることなども特徴という。合わせて、1ユーザー当たり10ドル以下というアップグレードキャンペーンを展開し、価格面でアピールする構えだ。

 これに対しRSA Security側は、IETFおよびOASISという業界団体とともに標準化活動を進めていることに加え、クレデンシャル(資格証明)の紛失時の対処など、長年のノウハウに基づく強力な管理機能の面で差別化が図れるとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ