深刻化する一方のサイバー攻撃は防げるのか 最新の対抗手段とは：ITmedia エンタープライズ セキュリティセミナー（3/4 ページ）

[タンクフル，ITmedia]

AIエンジンで「人・モノ・サービス」の安全を確保　エントラストジャパン

エントラストジャパン カントリーマネージャー　堀川隆治氏

　エントラストジャパンは、暗号化やデジタル署名、認証などの分野で事業を展開するソリューションカンパニー。インターネット上で行われるデジタルビジネスで「信頼」を保障する「Trusted Identities」（信頼のおけるID創出）と「Secure Transaction」（より安全な取引の実現）という2軸で事業を展開している。

　同社のカントリーマネージャーを務める堀川隆治氏は、多様なIoT機器の登場やスマホの普及で新たなサービスが登場し、それによって既存のビジネスインフラが大きく変容しているという見解を示した。従来のサービスがクラウド上に移行することでシェアリングエコノミーが一気に加速し、その環境に仮想通貨やポイントなどが加わるとともに、決済の方法も多様化しているからだ。

　このようにデジタルビジネスが進化するときに重要なのが「信頼性の維持」だと堀川氏は指摘。セキュリティが破られた際の代償として、2016年は世界で13兆円の被害が発生したとするVerizonのデータを紹介した。日本での被害は年間千数百億円だが、これを1人に換算するとグローバルでは年間3万6000円／人、日本でも3万4000円／人にもなるという。また、このような被害の95％がユーザーIDの盗難や漏えいに関係しているとの報告も紹介した。

　これまでユーザーIDの管理には、8文字以上のパスワードを設定し、さらにこれを定期的に変更するのが安全とされてきた。しかし、NIST（米国国立標準技術研究所）のガイドラインでは、それ自体がリスクだと定義しているという。堀川氏は、NISTの最新のガイドラインでは、8〜64文字のフレーズを「パスコード」として推奨していると説明。しかし、長いフレーズは扱いが煩雑になることから、IDやパスワードに代わる新しい考え方が必要だと話す。

　この分野で新しいソリューションを提供するエントラストジャパンは講演で、オンプレミス型とクラウド型の2種類のサービスを紹介した。堀川氏は、認証基盤にAIエンジンを活用し、専用のモバイル端末を用いた認証や生体認証など22種類の認証方法を提供していることを説明した。

　この22種類の認証方法は、利用する企業側が求めるセキュリティの強度、使い方、利便性などに応じて選択できる。利用企業側の評価によって幾つかを組み合わせ、認証の精度を高めているという。例えば、認証時に「その人らしいけど……」というような不確かな状況だった場合には、その判断をAIが行い、同時に別の認証方法を自動的に求める――という仕組みも用意している。また、いつもはオフィスで認証を行っていた人が、外出先からモバイルでアクセスしてくるなど、異なる場所やデバイスで認証する場合にも、認証精度をより高めるために自動で複数の認証方法を組み合わせるようにも設定できるという。