【レポート】利用環境/行動特性を分析、偽装ユーザーを排除 - Adaptive Authentication | エンタープライズ

急上昇ワード

[

]

【レポート】

利用環境/行動特性を分析、偽装ユーザーを排除 - Adaptive Authentication

星原康一　 [2008/10/10]

印刷

東京国際フォーラムにて開催された「国際金融情報技術展」のRSAセキュリティのブースにおいて、10月31日から発売される「RSA Adaptive Authentication 6.0」の展示が行われた。ここでは、デモの様子も交えながら同製品の特徴を紹介していこう。

RSA Adaptive Authenticationは、「リスクベース認証/監視ソリューション」と謳われる製品だ。ユーザー認証処理を強固にするためのソフトウェアで、各種の情報を分析し、本人でない可能性(リスク)を1000点満点でスコアリング。管理者が設定した閾値を超えた場合には「秘密の質問」などの追加認証が実行される仕組みになっている。

RSA Adaptive Authenticationによる認証の流れ

リスク評価は、「RSA eFraudNetworkとの検証」「デバイス分析」「ネットワーク分析」「ユーザー行動分析」「トランザクション分析」などを基に行われる。

これらのうち、デバイス分析/ネットワーク分析では、CookieやOS、Webブラウザ、IPアドレスなどの情報を取得し、ユーザーがあらかじめ登録したものや、これまでのアクセスで使用していたものなどと比較。相違がある場合には、あらかじめ設定された各項目の"重み"を基にリスクを判定し、スコアに反映させる。

また、RSA eFraudNetworkとの検証では、RSAセキュリティが提供する金融機関共有の不正防止ネットワーク「RSA eFraudNetwork」のデータベースを参照してリスクを評価する。同データベースには、過去に不正使用されたIPアドレスやフィッシングサイトなどの情報が登録されており、世界中の金融機関の手によって作られたブラックリストを参照し、犯罪者組織と疑われるIPアドレスからのユーザー認証を除外するかたちだ。

RSAセキュリティマーケティング統括本部本部長宮園充氏

一方、ユーザー行動分析では、ログインの時間や場所などを過去の履歴と比較して評価する。例えば、「普段は昼休みにしかアクセスしてこないユーザーが、突然深夜にアクセスしてきたら、本人ではない疑いが高くなる」(RSAセキュリティマーケティング統括本部本部長宮園充氏)。そうした分析が行えるのが同機能だ。

そして、トランザクション分析は、ログイン後のトランザクションを監視/評価するためのもの。新版で追加された機能で、従来はログイン時の認証処理を補完するものしか提供されていなかったが、同機能を使用すると、振込やメールアドレスの変更など、リスクの高いトランザクションに対しても分析が行われ、スコアに応じて追加認証が実行される。「いつもは月に一度程度しか振込を行わないユーザーが、数十万円の振込を立て続けに行った場合には、やはり本人ではない疑いが持たれる。新機能では、こうしたケースにも対応することが可能になった」(宮園氏)。

なお、追加認証は、ユーザーが事前に設定した答えを入力させる「秘密の質問」のほか、登録済みのメールアカウントにワンタイムパスワードを送信してそれを入力させる「メール認証」、画面上にワンタイムパスワードを表示してそれを登録済みの電話番号からプッシュホン入力する「電話認証」の3種類を提供。さらに他社の認証サービスを取り込むためのAPIも用意されている。

以下、デモの様子をご覧いただこう。

「秘密の質問」を使った追加認証のデモ


まずは、ユーザー登録時に秘密の質問を3つ登録。その後、通常使うWebブラウザをInternet Explorerに設定した。なお、このデモではWebブラウザの相違を高リスクと判断するよう設定されている	Internet Explorerでアクセスした場合は、IDとパスワードだけでログインができたが、Firefoxからアクセスすると秘密の質問が登場。これに正解して初めてログインが完了する。秘密の質問は登録した3つのうちの1つがランダムに現れる

トランザクション分析のデモ


まずは振込処理を実行	サーバ側での分析の結果、高リスクと判断され、振込処理が完了する前に追加認証が現れた

登録メールアカウントを変更するデモ


メールアカウントは追加認証でも使用される重要な情報であるため、このデモではその変更処理を高リスクに設定している。変更後のアドレスを入力して「実行」ボタンを押すと……	追加認証画面に遷移。同時に変更前のメールアカウントへワンタイムパスワード(ワンタイムキー)が自動送信される

旧メールアカウントで受信したメール。「114179」というワンタイムキーが表示されている	メールのワンタイムキーを入力して初めて登録メールアカウントの変更が完了する

こうした機能に加えて、新版では「Case Management ツール」が追加される。これは、リスクが高いと思われるトランザクションをリスクエンジンへ手動でフィードバックするためのツールだ。これまでリスクの評価は、リスクエンジンの分析能力に任せるかたちになっていたが、同ツールを使用すると、怪しいトランザクションのパターンを5段階の危険度で登録できるため、ユーザー企業側でリスクエンジンの精度を高めるられる。

*　　*　　*

RSA Adaptive Authenticationは、すでに全世界で9000機関以上が採用。実績は抜群だ。「アングラサイトでフィッシングサイト構築キットが売られ、月に数千件ものフィッシングサイトが発見されている」(宮園氏)現在においては、特に心強いソリューションと言えそうだ。