認証のクラウド化を進めるVeriSign、証明書の新サービスも導入:ユーザーの負担軽減を狙う
米VeriSignは2010年までに展開する製品計画を紹介。認証を同社が代行するサービスを推進するとともに、SSL証明書に続く新たな証明書サービスを導入する。
ロッシュ氏日本ベリサインは8月27日、2010年にかけて展開する製品やサービスについて記者向けに説明した。Webサイトの安全性をユーザーに通知する新しい証明書サービスの導入や、認証機能の代行サービスを推進する。
来日した米VeriSignの認証製品および戦略担当シニアヴァイスプレジデントのフラン・ロッシュ氏は、同社が注力する分野として、Webサイトの安全証明書サービス、ユーザー認証保護の「VeriSign Identity Protection(VIP)」、なりすまし犯罪を防ぐ「Fraud Detection Services(FDS)」、「マネージドPKI」の4つを紹介した。
2010年に展開するWebサイトの安全証明書サービスは、同社がWebサイトに対してマルウェアスキャンやドメインが適正なものであるかを診断し、安全性が確認されたサイトに対して証明書を発行する。サイト運営者は証明書をサイトに掲出することができ、訪問者に対して安全なサイトであることを示すことが可能になるという。
同社では、現在のSSL証明書やEV SSL証明書に続く新たな証明書事業に位置付け、オンライン決済処理などが伴わないWebサイトを運営する企業などでの利用を見込む。ロッシュ氏は、「原則として1日に1回程度われわれがスキャンを実施し、問題が見つかれば証明書を無効にするなどの処置も可能なので、訪問者に安全性を示す新たなインフラになる」と話した。
「VeriSign Certified」というメッセージを表示する証明書のデザインも完成しており、システムの脆弱性スキャンやプライバシーポリシーの審査といった検査内容の拡充も検討中。ロッシュ氏は、対応ブラウザのアドレスバーが緑色に変化するEV SSL証明書と併用することで、Webサイトの安全性がさらに高まると説明した。
VIPでは、複数のWebサイトやアプリケーション利用でのユーザー認証を同社が代行するサービスや、ワンタイムパスワード(OTP)機能の提供などを中心に展開している。特にOTPは携帯電話での利用する機能に注力しており、ユーザーは自身の携帯電話から異なるサイトやサービスを容易に利用できるようになるとしている。
携帯電話でOTPを利用するには、専用アプリケーションをインストールして携帯端末上でOTPを生成するモバイルトークン型や、サーバ上で生成したOTPを携帯電話に通知する方法がある。同社では双方のタイプを採用しており、トークン型の場合では4月にリリースしたiPhone用アプリケーションのダウンロード件数が数万件に上ったという。
ロッシュ氏によれば携帯電話でOTPを使うメリットは、専用トークンを使わないことでのコスト削減や、ユーザーが携帯電話を日常的に持ち歩いていることでの利便性が挙げられる。「米国では通信事情が良くない場所も多いのでトークン型が求められる。サービスエリアがきめ細かい日本なら端末に通知するタイプが支持されるだろう」(ロッシュ氏)
米国のOTPユーザーは、80%以上がオンプレミス(システムの自社所有)ではなく、オンラインサービスを利用しているという。同氏は、携帯電話によるOTPと同社の認証代行サービスの組み合わせがSaaS(サービスとしてのソフトウェア)などに代表されるクラウドコンピューティングに適したインフラになると語った。
FDSはリスクベース認証と呼ばれる行動分析技術を用いた認証サービスで、なりすましによる詐欺犯罪対策を目的にしている。リスクベース認証では、正規ユーザーのIPアドレス(ロケーション)やOSおよびブラウザなどのバージョン、アクセス日時、cookieなどから日常的な行動パターンを登録しておき、このパターンとは異なる行動が取られた場合に、追加認証を求めたり、セッションを強制終了したりできる。
同社のサービスでは、サイトへのアクセス時に加えてセッション中の行動も監視しており、万が一ログイン認証が突破されても、セッション内容に異常があれば中断させることができ、被害を最小限に抑えられるとしている。
「例えば株取引であれば、犯罪者が正規ユーザーのコンピュータでアクセスしても、セッション中にいつもとは異なる異常な数量の売買を検地したら、停止させられる」(同氏)
マネージドPKIでは、特に中小企業や個人での利用が容易になることを目指すという。ロッシュ氏によれば、電子政府化の進める日本や納税業務での利用が多いブラジルなどでPKIに対するニーズが高く、クライアント証明書の申請から発行にいたるまでの処理や、ネット上での利用いかに簡略化できるかが普及のポイントになる。
「例えば、PKIを利用しようとするとWebブラウザが警告して驚くユーザーも多く、不安なイメージを与えてしまうことが多い。こうしたネガティブな状況を改善したいと思う」(同氏)という。
最後にロッシュ氏は、「いずれの取り組みも個人や企業の負担やコストの軽減化、利便性や信頼性の向上につながるものであり、積極的に展開していく」と述べた。なお、Webサイトの安全証明書サービスと携帯電話向けのOTPサービスは、国内での開始時期は未定となっている。
関連記事
新たな中間者攻撃にはEV SSLの活用を――ベリサイン
VeriSignは、BlackHatで公開された新たな中間者攻撃への対策としてEV SSL証明書の利用を呼び掛けた。
SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営
SSLがあれば、ユーザーは詐欺サイトとは思わずに安心して個人情報などを入力してしまう。
世界の登録ドメイン数、前年同期比12%増の1億8300万件に
VeriSignが発表した1〜3月期のドメイン登録に関する統計によると、景気悪化の影響で停滞していた.comと.netの新規登録数の増加率が4四半期ぶりにプラスに転じた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
ITmediaはアイティメディア株式会社の登録商標です。