「ゼロデイ詐欺」にも対処する日本ベリサインの新サービス

日本ベリサインは、オンライン取引のセキュリティ向上を支援する「VIP(VeriSign Identity Protection)」サービスを10月より開始する。

» 2006年08月08日 21時27分 公開
[高橋睦美,ITmedia]

 日本ベリサインは8月8日、オンライン取引のセキュリティ向上を支援するサービス群を、「VIP(VeriSign Identity Protection)」という名称で10月より提供していくことを発表した。米国では2月にリリースしていたものだ(関連記事)

 VIPは2つのサービスから構成される。トークンや携帯電話を用いて二要素認証を実現する「VIP ストロングオーセンティケーションサービス」と、エンドユーザーのアクセスパターンを学習し、そこから逸脱した異常な振る舞いを詐欺行為として検出する「VIP オンライン詐欺検出サービス」だ。

 VIP ストロングオーセンティケーションサービスは、ユーザーIDとパスワードの組み合わせに加え、別の要素で認証を行うことで、より強固な本人確認を実現する。認証手法として、ハードウェアトークンやスマートカード、電子証明書のほか、NTTドコモのFOMA 902iシリーズ以降の携帯電話も利用できるようにする。

 特徴は、同社が提唱している認証仕様、「OATH(Initiative for Open AuTHentication)」に基づくことにより、VIPを利用している複数のサービス間で1つのトークンを共有できること。サービスごとにトークンを使い分ける必要がなくなるため、ユーザーの利便性が向上するほか、コスト削減にもつながる。

 また、トークンの提供と配送、アクティベーションや管理といった作業は基本的にベリサイン側で行うが、個人情報までは手渡されない。事業者側で既存のアカウントにトークンの情報を紐付けることで、二要素認証を実現する仕組みだ。「サイトとエンドユーザーの関係には変更がない」(同社マーケティング部兼セキュリティソリューション営業部部長代理の坂本尊志氏)。ただし、事業者の要望があれば、認証やトークンの管理を行うサーバも含めた提供も可能という。

 もう1つのVIP オンライン詐欺検出サービスは、フィッシング詐欺やスパイウェアによって盗まれたID情報の悪用を検出し、ユーザーの被害を未然に防ぐためのもので、事業者側にサーバソフトウェアの形で提供される。さまざまな最新の詐欺の手法に加え、ユーザーの行動パターンを学習することにより、犯罪者によるなりすましを阻止する。

 特徴は、ブラックリストをはじめとする詐欺行為を検出するためのルールに加え、行動分析エンジンによってユーザー個々の行動を学習し、通常の振る舞いを「行動マップ」として生成すること。ユーザーがログインするたびに、状況を行動マップと照らし合わせ、逸脱が見られる場合は再確認などを行う仕組みだ。

通常の行動を「クラスタ」としてまとめる行動マップ。逸脱する行動が赤く示される

 例えば、通常平日はMacintoshプラットフォームから昼間に利用するはずのユーザーが、Linuxから夜中にアクセスしてきたり、突然海外からアクセスしてきたといった場合、疑わしい行動として認識。あらかじめ設定しておいた質問に対する答えを求めたり、コールバックを行いアクセスコードを照合するなど、他の手段で本人確認を行い、本人からのアクセスかどうかを判別する仕組みだ。また、最初は逸脱行動と見なされるアクセスでも、再確認を積み重ねることで、新たに「普段の行動」として認識することもできる。

 日本ベリサインではVIP オンライン詐欺検出サービスによって、「新たなゼロデイ詐欺に対しても、コトが起こった後に検出するのではなく、積極的に介入して被害を未然に防ぐことができる」(坂本氏)としている。

 両サービスの価格は、1000ユーザーで数百万円から。金融機関をはじめ、オンラインサービスを提供する事業者向けに提供していく。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ