Tweet

「Adaptive Authentication」のエンジンを企業向けに活用

リモートアクセスに手軽なリスクベース認証を、EMC

2011/05/10

　EMCジャパンは5月10日、リスクの高低に応じて追加の認証を行い、リモートアクセスを安全に行えるよう支援するアプライアンス製品「RSA Authentication Manager Express 1.0」を発表した。

　同社はこれまでも、オンラインバンキングなどのサービスを提供する事業者向けに、リスクベース認証製品「RSA Adaptive Authentication」を提供してきた。IDとパスワードによる認証に加え、ユーザーがアクセスしてきた日時や場所、頻度といった情報を分析し、「普段とは異なる傾向の、リスクの高いアクセスだ」と判断すると、追加の認証を求めることで取引の安全性を高める製品だ。

　RSA Authentication Manager Express 1.0は、RSA Adaptive Authenticationのリスク判定エンジンにエンタープライズ向けのチューニングを加えてサーバに搭載し、アプライアンスの形で提供する製品だ。

EMCジャパン RSA事業本部長 山田秀樹氏

　Cookieによるデバイス識別に加え、IPアドレス情報や接続速度、アカウントに関するアクティビティなどの要素を測定し、通常通りのアクセスか、それとも不審なところがあるリスクの高いアクセスかどうかを判定する。もしリスクの高いアクセスと判断した場合は、あらかじめ登録しておいた秘密の質問に答えるか、指定のメールアドレスに送付する「On-Demandトークン」による認証を追加し、ログインの可否を決める仕組みだ。

　同社がこの製品を投入した背景には、「リモートアクセスが企業にとって不可欠になっている」（同社RSA事業本部長 山田秀樹氏）という状況がある。特に、東日本大震災後、電力ひっ迫にともなう通勤への影響や拠点の移動などへ対応する必要から、リモートアクセスへの需要が急増しているという。

　一般にリモートアクセス時の認証には、IDとパスワードの組み合わせが用いられることが多い。RSAが2011年に行った独自調査によると、回答企業の67％は「IDとパスワードの組み合わせだけでログインを行っている」という。だが、パスワードには常に推測されるリスクがつきまとう。近年は特に、企業従業員のパスワード詐取を狙う、高度な攻撃が増えてきた。だからといってパスワード設定ポリシーを厳密にすると、今度はユーザーに負担が掛かる。その負荷を避けるため、パスワードの再利用やメモ書きなどが横行すると、かえってセキュリティリスクが高まりかねない。

　そこで浮上するのが「SecurID」のようなワンタイムパスワード認証だが、ハードウェアトークンの配布、運用にまつわる手間とコストが課題となる。「RSA Authentication Manager Express 1.0」は、ユーザーの利便性を妨げず、コストを抑えながらリスクを回避したいと考える企業向けの製品だ。特に、認証基盤の構築・運用に十分なリソースを避けない中堅／中小企業に適しているという。

　EMCジャパンではRSA Authentication Manager Express 1.0を、SSL VPNやWebポータルへのアクセス時の認証を強化したいと考える企業向けに販売する。フェデレーション機能を活用し、パブリッククラウドサービスへの連携へと拡張することも可能といい、価格は25ユーザーライセンスの場合で31万円、100ユーザーライセンスで115万円。8月22日に出荷を開始する。

【訂正】記事初出時、100ユーザーライセンスの価格を1150万円と書いてありましたが、これは115万円の誤りです。訂正してお詫び申し上げます。本文は修正済みです。