アットマーク・アイティ @IT@IT情報マネジメント@IT自分戦略研究所QA@ITイベントカレンダー  
 
 @IT > 【RSA Conference Japan 2006開催】 電子商取引の摩擦をなくすRSAセキュリティの認証アプローチ
 
@IT Special

 

PR

【RSA Conference Japan 2006開催】
電子商取引の摩擦をなくす
RSAセキュリティの認証アプローチ

 情報セキュリティに関する大規模イベント「RSA Conference Japan 2006」が4月26、27日に都内で開催された。基調講演に登場した米RSAセキュリティのプレジデント兼CEO アート・コビエロ氏は不正アクセスやコンピュータ・ウイルスの増大で、「プライバシーとセキュリティの間で摩擦が起きている」と指摘。そのうえで「デジタルIDが摩擦のない電子商取引を実現するだろう」と強調した。

   

複雑な認証がユーザー、企業の負担に

 オンラインバンクやショッピングなどインターネットを使った電子商取引は急拡大している。しかし、それぞれに対して複雑な認証が必要なケースがあり、使いこなせていないユーザーは多い。また、これらのサービスを提供する企業も、認証システムの開発や運用に多額のコストがかかっているのが現実だ。

米RSAセキュリティのプレジデント兼CEO アート・コビエロ氏

 一方、不正アクセスやウイルスは増大している。コビエロ氏は「日本でも50%以上のペースでサイバー犯罪が増加している。日本企業の対策コストは100億円を超えた」と現状を説明する。

 コビエロ氏はデジタルIDを使った認証には、「リスクに応じた適正なレベルの信頼性を考えるべき」と訴える。現状の電子商取引では複数の認証モデルが登場している。個人と明確に結びつける「絶対的なID」が1つの例だ。

 コビエロ氏は「現実をモデルに考えるべきだ」と説明する。現実社会の取引では「個人IDの開示が不要な現金での取引が50%を占める」。この取引を電子商取引に置き換えると「半匿名の認証」になる。半匿名の認証で使われるIDは、本人と厳密にリンクすることはない。しかし、電子マネーの決済などリスクが低い取引では有効だ。

   

「リスクに応じた認証を」、コビエロ氏

 コビエロ氏はさらにWebブラウザのクッキーなどユーザーが気づかないところで認証を行っている「パッシブ認証」や、パッシブ認証で本人確認ができなかった場合に、ユーザーに改めて認証を求める「アクティブ認証」を紹介した。そのうえで「企業はそれぞれの電子商取引に関して完璧な認証を見つけるのではなく、リスクベースで考えて複数の認証を階層型に組み合わせることを検討すべきだ」と強調した。

米RSAセキュリティのコンシューマー・ソリューションズ部門担当上級副社長 ナフタリ・ベネット氏

 26日午後のセッションに登場した米RSAセキュリティのコンシューマー・ソリューションズ部門担当上級副社長 ナフタリ・ベネット氏は「電子商取引で認証の数を増やすのは限界。ドアの鍵をいくら多くしても犯罪者は窓から入ってくることもある」と語り、「複数の対策技術を組み合わせる階層型アプローチが注目されている」と訴えた。

 特にユーザーの資金を狙うフィッシング詐欺は深刻だ。ベネット氏は「作成が容易なため月に3000の新たなフィッシング詐欺が発生している」と説明する。RSAセキュリティはフィッシング詐欺対策として「RSA FraudAction」を海外で提供しており、7月からは日本で提供開始する予定だという。RSA FraudActionでは、RSAが毎日10億通の電子メールをチェック。フィッシング詐欺の電子メールを検知すると、攻撃を受けた銀行に通知し、注意を呼びかける。同時に偽装WebサイトをホスティングしているISPに連絡し、問題のサイトを閉鎖するよう求める。

 ベネット氏は「この2年で1万ものフィッシング詐欺サイトをシャットダウンした。フィッシング詐欺サイトがクローズされるまで通常平均5日半だが、RSA FraudActionを利用している銀行を攻撃対象にしたフィッシング詐欺サイトは5時間程度でクローズしている。フィッシング詐欺サイトのクローズまでの期間を大きく短縮している」と成果を説明する。

   

いつものアクセス、異常アクセスを識別

 また、ベネット氏は、コビエロ氏と同様にリスクベースで複数の認証の仕組みを導入することが重要と訴えた。リスクベースとはつまりアクセスしてきた人の危険度をシステム側でチェックして、そのアクセスに関するリスクに応じて必要な認証を求めるということ。

 具体的には、アクセスしたユーザーの場所やデバイス、IPアドレスなどを確認し、通常のアクセスかどうかをチェックする。いつも東京からアクセスしている人が、急に北京からアクセスすると、認証システムが「リスクがある」と判断し、トークンや電話での確認、秘密の質問への回答など別の認証をユーザーに求める。ベネット氏は「すべてのトランザクションはリスクにおいて平等ではない」という。

会場のエキシビジョンスペースには多数のセキュリティベンダがブースを開いた

 ベネット氏の説明によると、リスクベース認証を2004年7月に導入した銀行ではオンラインの不正取引を80%削減できたという。

 RSAセキュリティは、このリスクベース認証のベースとなっている「RSA eFraudNetwork」を運営している。eFraudNetworkは検出したフィッシング詐欺サイトやフィッシング行為に関連する情報の基幹データベースの役割をもっており、世界中の銀行などの金融機関でリアルタイムに情報共有できる仕組み。あるオンラインバンクで「不正」と認められたユーザーが、別のオンラインバンクを利用しようとしてもアクセスの場所やIPアドレス、デバイスの種類などから同じ不正ユーザーと認識され、アクセスをブロックする。世界の50以上の大手銀行と中堅銀行が参加し、不正情報を共用しているという。ベネット氏は「グローバルな市場はまさにこの階層型のアプローチに向かっている」と話した。

   

クレジットカード保護のポイントは


米RSAセキュリティ ディベロッパー・ソリューション グループ プロダクト マーケティング マネージャ クリス・パーカーソン氏

 また、27日に登場した米RSAセキュリティ ディベロッパー・ソリューション グループ プロダクト マーケティング マネージャ クリス・パーカーソン氏は、クレジットカードに関するデータ・セキュリティ基準「PCI(Payment Card Industry) Data Security Standard」について説明した。

 PCIは、ネットワーク攻撃に対する防御、データの安全な保存や取り扱い、データやネットワーク・リソースに対するアクセス制御、ネットワーク監視、情報セキュリティ・ポリシーの整備など、12のセキュリティ技術や運用の要件を定義。パーカーソン氏はフロントエンド、バックエンド、データの3点を保護する「エンタープライズ・データ保護」が重要と訴え、PCI要件に対応したRSAセキュリティのソリューション、RSA Key Manager, RSA BSAFE Data Security Managerを採用したアコーホテル・チェーンでの事例を紹介した。


提供:RSAセキュリティ株式会社
企画:アイティメディア 営業局
制作:@IT 編集部
掲載内容有効期限:2006年6月14日
 
関連リンク
RSAセキュリティ

RSA Conference Japan 2006
 
@IT記事
RSAがフィッシング対策サービスを国内展開、本人認証の高度化も視野に

情報セキュリティ担当者の10年後は?


Windows Vistaで「セキュリティはジャンプアップする」とゲイツ氏

セキュリティと組織を語るRSAカンファレンスは4月開催

KCCS、Webアプリケーション基盤構築ビジネスでRSAと協業


 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ