RSAがフィッシング対策サービスを国内展開、本人認証の高度化も視野に

2006/4/26

 RSAセキュリティは4月25日、フィッシング対策サービス「RSA FraudAction」を、2006年7月より国内で提供していく予定であることを発表した。

 これは、米国では2005年12月にRSAが買収したサヨタ(Cyota)により、約2年半前から展開されているサービスで、すでに英バークレイ銀行、米チャールズ・シュワブ証券など、世界で金融機関約100社が採用しているという。

 同サービスではまず、イスラエルに置かれたRSAの専門家チームが電子メールを中心としたさまざまな情報ソースを24時間年中無休態勢で監視し、顧客である金融機関の被害につながるフィッシングサイトが検出されると、即座に顧客に通知する。また、検出したフィッシングサイトが接続しているISPを割り出し、即座にWebサイトの閉鎖を依頼する。

 その間フィッシングサイトに対し、被害ユーザーを装って架空の情報を大量に送り込み、正しい情報はどれなのかを見分けられなくすることで、実際に被害が発生する可能性を低下させる。

 また、フィッシングサイトのソースやユーザーによる入力情報を分析し、犯罪捜査などに活用する機能も提供する。

 同サービスではこれまで1万件以上のフィッシングサイトを閉鎖に追い込んだという。また、検知から閉鎖までの平均所要時間は、一般的には5日半であるのに対し、同サービスでは約5時間だという。

米RSAのナフタリ・ベネット上席副社長

 米RSAセキュリティのコンシューマー・ソリューションズ部門担当上席副社長ナフタリ・ベネット(Naftali Bennett)氏は、フィッシングが増加の一途をたどっている理由を、「フィッシングはアマチュア・プログラマでも十数時間で仕掛けることができ、数時間で例えば50件のクレジットカード情報を入手できる。にもかかわらず、捕まった例は片手で数えるほどしかない」と説明した。

 RSAセキュリティは、2006年7月に向けて日本での監視態勢を整備し、まずフィッシングサイト検出と通知のサービスについて国内での提供を開始、これ以外のサービスについても順次提供していくという。

 今回のフィッシング対策サービスはRSAのオンラインサービス保護戦略の一環。4月26日より開催のRSA Conference Japanのために来日した米RSAセキュリティ社長兼CEO アート・コビエロ(Arther Coviello)氏は、「当社は昨年から、単にアイデンティティ保護を提供するだけでなく、多階層にわたる防衛という考え方に基づくソリューションを提供するべくシフトしてきた」と語った。

アート・コビエロ社長兼CEO

 米RSAセキュリティでは今回発表されたフィッシングサイト対策サービスのほか、ユーザーや利用端末の情報、さらに取引内容をリアルタイムで確認し、リスクが高いと判断された場合には追加で別要素による認証を要求する「適応型認証」サービス、さらに最後の防御手段として、オンライン取引の内容をリアルタイムでモニタリングし、不正と判断される取引は拒否するサービスの、3段階のサービスを展開している。

 利用端末の特定では、IPアドレスだけでなく、cookie情報などネットワーク経由で取得できるさまざまな情報が使われるという。

 適応型認証や取引モニタリングのサービスは、金融機関のWebサイトに対し、米RSAセキュリティの運営するサーバから個々のユーザーに対するリスク情報を提供し、金融機関のサーバはこれを受け取って追加認証などのルーチンを起動する。このリスク情報提供サーバを顧客である金融機関のWebサイト側に設置し、情報をRSAが随時更新する形でのサービス提供も行っているという。

 適応型認証ではさまざまな認証手段を活用する。例えば米RSAセキュリティが4月24日に買収したばかりのパスマーク・セキュリティは、音声認証の技術を持っている。これを使って、リスクが高い取引が行われようとした際に、自動的にユーザーに電話をかけ、取引当事者が本人であることを確認するなども可能という。

 RSAセキュリティでは、これらのサービスについても、時期は未定ながら国内で提供していくことを発表した。

 米RSAセキュリティのコビエロ社長兼CEOは、これらコンシューマー・ソリューションズ部門の事業について、「現在は約3000万ドルで、全体の売り上げの10パーセント未満。しかし年率100パーセントで成長し、当社のビジネスの重要な一部分になっていくだろう」と話した。

(@IT 三木泉)

[関連リンク]
RSAセキュリティの発表資料

[関連記事]
セキュリティと組織を語るRSAカンファレンスは4月開催 (@ITNews)
認証製品をオンラインサービス企業にOEM、RSA (@ITNews)
KCCS、Webアプリケーション基盤構築ビジネスでRSAと協業 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)