CA、シングルサインオン製品「SiteMinder」にリスクベース認証機能を追加：MITM攻撃やなりすましへの対策強化

　CA Technologiesはシングルサインオンソフトウェア「CA SiteMinder」の新バージョンとなる「CA SiteMinder r12.52」を発表した。セッションハイジャックやマンインザミドル（MITM）によるセッションリプレイ攻撃、なりすましへの対策を強化するため、「セッションアシュアランス」機能を追加したことが最大の特徴という。

　CA SiteMinderは、複数のWebサイトへのシングルサインオンを実現する認証基盤ソフトウェアだ。1度の認証で複数のサイトやサービスにログインできるため、複数のIDとパスワードを使い分ける必要がなくなり、ユーザーに煩雑さを強いる必要がなくなる。結果として、パスワードの使い回しによる不正ログインのリスクも抑えることができる。

　新バージョンでは特に、なりすまし対策を強化するため、リスクベース認証の一種であるセッションアシュアランス機能を追加した。同社独自の「DeviceDNA」技術により、アクセスしてきた機器のフィンガープリントを収集し、データベースに保持。これをセッションごとに照らし合わせることにより、セッションリプレイ攻撃などを受けていないか、異なるデバイスで再利用されていないかどうかを検知する。

　同社は既に、リスクベース認証製品「CA RiskMinder」でセッションアシュアランスを実装済みだ。だが、「シングルサインオンの部分で手軽にMITM対策を取りたい」というニーズに応え、SiteMinderにも同機能を追加し、提供することにしたという。基本的なアーキテクチャはCA RiskMinderのセッションアシュアランス機能と同一だが、サーバーへの負荷を軽減するため、収集する情報を軽量化した。

　CA SiteMinder r12.52では他に、OAuth 2.0および1.0aを用いたソーシャルシングルサインオンの拡張、WS-Federation 1.2 Active Profileのサポート、リッチクライアントを利用したOffice 365へのシングルサインオンといった機能が追加されている。

　同社は今後、米国でリリース済みの「Cloud Minder」のように、あらゆる認証機能をクラウド上でも利用できるようにしていく方針。同時に、APIセキュリティも強化していく計画だという。