RSAセキュリティは5月21日、リスクベース認証製品「RSA Adaptive Authentication」について、モバイル機能の認証に関する機能強化を行ったと発表した。同機能の提供は6月17日からスタートし、機能強化による価格変更はない。
|
RSAセキュリティ マーケティング統括本部 プロダクトマーケティングマネジャーを務める水村明博氏 |
マーケティング統括本部 プロダクトマーケティングマネジャーを務める水村明博氏が、今回モバイル機器向けの機能を強化した理由について説明した。「理由は3つある。1つはモバイルによるオンライン決済が急成長している上、利用者の85%がアジア地域だからだ。今回の機能強化は日本向けとなっている。次に、不正アクセスの発生件数も増加していることがある。不正アクセス後の行為として、インターネットオークションやオンラインの不正操作といった新たな傾向も出てきている。最後の理由が、フィッシング攻撃が盛り返し、新たな攻撃手法が登場するなど、新たなオンラインの脅威の対策が必要な状態にあるからだ」
リスクベース認証では、ユーザーに負担をかけない形で、デバイスID、デバイス年齢(初めてアクセスしてからの経過時間)、IPリスク(国、ISP、eFN照合、過去不正履歴)、デバイスリスク(ブラウザの言語・タイムゾーン、同一デバイスでの不正履歴)、IP・デバイス異常(短期間に同一デバイス・IPを利用したユーザー数、前回同一デバイス・IPアクセスからの経過時間)、変更率などから、リスクを評価する。リスクが高いと見なされた場合は、追加認証が行われる。
また、認証されたユーザーについても、サイト内でのトランザクションをモニタリングし、リスクが高いトランザクションと判断された場合は、追加認証が行われる。追加認証の方式は、「秘密の質問」、「電子メールや電話を利用した本人認証」、「ワンタイムパスワード認証や電子証明書認証」のほか、ユーザー独自の認証システムなどから選択できる。
|
リスクベース認証の仕組み |
同製品ではCookieとIPアドレスをリスクベースの認証要素としているが、モバイル機器はPCと異なり、Cookieの保管が困難であり、アクセスしてくる場所が頻繁に変わるため、これまでモバイル機器の認証は高リスクと見なされることもあった。今回、こうしたモバイル機器の仕様や利用形態を考慮し、モバイル機器特有の情報を評価要素に加えることで、モバイル機器のリスクベース認証を的確に行うことが可能になった。
|
米RSA,The Security Division of EMC Asia Pasofoc IPV セールスエンジニアのアビー・ローゼン氏 |
米RSA,The Security Division of EMC Asia Pasofoc IPV セールスエンジニアのアビー・ローゼン氏からは、オンライン犯罪の最新動向に関する説明が行われた。「トロイの木馬を用いて、IDを盗み、ユーザーのセッションをリアルタイムで乗っ取るといった手口のフィッシングが増えている。このタイプのフィッシングでは、利用者に気付かれないように架空口座を介してお金の奪取が行われるなど、手口の巧妙化が進んでいる」
同氏は、「最近のオンライン犯罪は複数の脅威を含んでおり、2要素認証だけでは対処しきれない。すべての脅威をブロックするには、当社が提供しているような複合的な認証が必要」と、包括的な認証システムの必要性を強調した。
