認証のクラウド化を進めるVeriSign、証明書の新サービスも導入ユーザーの負担軽減を狙う

米VeriSignは2010年までに展開する製品計画を紹介。認証を同社が代行するサービスを推進するとともに、SSL証明書に続く新たな証明書サービスを導入する。

» 2009年08月28日 08時40分 公開
[國谷武史,ITmedia]
ロッシュ氏

 日本ベリサインは8月27日、2010年にかけて展開する製品やサービスについて記者向けに説明した。Webサイトの安全性をユーザーに通知する新しい証明書サービスの導入や、認証機能の代行サービスを推進する。

 来日した米VeriSignの認証製品および戦略担当シニアヴァイスプレジデントのフラン・ロッシュ氏は、同社が注力する分野として、Webサイトの安全証明書サービス、ユーザー認証保護の「VeriSign Identity Protection(VIP)」、なりすまし犯罪を防ぐ「Fraud Detection Services(FDS)」、「マネージドPKI」の4つを紹介した。

 2010年に展開するWebサイトの安全証明書サービスは、同社がWebサイトに対してマルウェアスキャンやドメインが適正なものであるかを診断し、安全性が確認されたサイトに対して証明書を発行する。サイト運営者は証明書をサイトに掲出することができ、訪問者に対して安全なサイトであることを示すことが可能になるという。

 同社では、現在のSSL証明書やEV SSL証明書に続く新たな証明書事業に位置付け、オンライン決済処理などが伴わないWebサイトを運営する企業などでの利用を見込む。ロッシュ氏は、「原則として1日に1回程度われわれがスキャンを実施し、問題が見つかれば証明書を無効にするなどの処置も可能なので、訪問者に安全性を示す新たなインフラになる」と話した。

 「VeriSign Certified」というメッセージを表示する証明書のデザインも完成しており、システムの脆弱性スキャンやプライバシーポリシーの審査といった検査内容の拡充も検討中。ロッシュ氏は、対応ブラウザのアドレスバーが緑色に変化するEV SSL証明書と併用することで、Webサイトの安全性がさらに高まると説明した。

 VIPでは、複数のWebサイトやアプリケーション利用でのユーザー認証を同社が代行するサービスや、ワンタイムパスワード(OTP)機能の提供などを中心に展開している。特にOTPは携帯電話での利用する機能に注力しており、ユーザーは自身の携帯電話から異なるサイトやサービスを容易に利用できるようになるとしている。

 携帯電話でOTPを利用するには、専用アプリケーションをインストールして携帯端末上でOTPを生成するモバイルトークン型や、サーバ上で生成したOTPを携帯電話に通知する方法がある。同社では双方のタイプを採用しており、トークン型の場合では4月にリリースしたiPhone用アプリケーションのダウンロード件数が数万件に上ったという。

 ロッシュ氏によれば携帯電話でOTPを使うメリットは、専用トークンを使わないことでのコスト削減や、ユーザーが携帯電話を日常的に持ち歩いていることでの利便性が挙げられる。「米国では通信事情が良くない場所も多いのでトークン型が求められる。サービスエリアがきめ細かい日本なら端末に通知するタイプが支持されるだろう」(ロッシュ氏)

 米国のOTPユーザーは、80%以上がオンプレミス(システムの自社所有)ではなく、オンラインサービスを利用しているという。同氏は、携帯電話によるOTPと同社の認証代行サービスの組み合わせがSaaS(サービスとしてのソフトウェア)などに代表されるクラウドコンピューティングに適したインフラになると語った。

 FDSはリスクベース認証と呼ばれる行動分析技術を用いた認証サービスで、なりすましによる詐欺犯罪対策を目的にしている。リスクベース認証では、正規ユーザーのIPアドレス(ロケーション)やOSおよびブラウザなどのバージョン、アクセス日時、cookieなどから日常的な行動パターンを登録しておき、このパターンとは異なる行動が取られた場合に、追加認証を求めたり、セッションを強制終了したりできる。

 同社のサービスでは、サイトへのアクセス時に加えてセッション中の行動も監視しており、万が一ログイン認証が突破されても、セッション内容に異常があれば中断させることができ、被害を最小限に抑えられるとしている。

 「例えば株取引であれば、犯罪者が正規ユーザーのコンピュータでアクセスしても、セッション中にいつもとは異なる異常な数量の売買を検地したら、停止させられる」(同氏)

 マネージドPKIでは、特に中小企業や個人での利用が容易になることを目指すという。ロッシュ氏によれば、電子政府化の進める日本や納税業務での利用が多いブラジルなどでPKIに対するニーズが高く、クライアント証明書の申請から発行にいたるまでの処理や、ネット上での利用いかに簡略化できるかが普及のポイントになる。

 「例えば、PKIを利用しようとするとWebブラウザが警告して驚くユーザーも多く、不安なイメージを与えてしまうことが多い。こうしたネガティブな状況を改善したいと思う」(同氏)という。

 最後にロッシュ氏は、「いずれの取り組みも個人や企業の負担やコストの軽減化、利便性や信頼性の向上につながるものであり、積極的に展開していく」と述べた。なお、Webサイトの安全証明書サービスと携帯電話向けのOTPサービスは、国内での開始時期は未定となっている。

Topページはこちら

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.