"パスワードには引退してもらう" シマンテックがモバイルプッシュ認証提供

シマンテックは2月19日、クラウドベースの認証システム「Symantec Validation and ID Protection(VIP)」に、ユーザーの所有するスマートデバイスを利用して二要素認証を実現する新たなモバイルプッシュ認証「VIP Access Push」機能を追加したと発表した。グローバルに先駆け日本市場へ提供され、価格は1000人の場合で1ユーザーあたり2400円(1年・税別)。

グローバルでの発表は、2月24日から開催されるMobile World Congress(MWC)で行い、現在iOS版アプリのみ提供となっているVIP Access Pushについても、対応Android版アプリが提供される予定。

新たに追加されたVIP Access Pushでは、PCなどでWebサービスにログインする際に、VIPのクライアントアプリ「VIP Access」をインストールした端末にプッシュ通知を行う仕組みとなっている。VIP Accessには「許可」と「拒否」のボタンが表示され、許可をタッチすればログインが完了する二経路認証となる。

この仕組ではPCでID・パスワードを入力するが、シマンテックではこれを第一段階としており、年内には、Webサービス側ではIDのみを入力しPINを利用する第二段階、さらには、クライアントアプリで指紋など生体認証を利用する第三段階の提供を目指すとしている。

この日のデモでは、この第三段階となる指紋認証を利用した例も紹介された。架空のオンラインバンクサービスのログイン画面で利用者IDを入力すると、本人のiPhoneにプッシュ通知が送られ、クライアントアプリのVIP Accessで指紋を読み取るとログインが完了するという流れだ。

会見で同社 代表取締役社長 河村 浩明氏は「今日はもっとも興奮する製品の提供発表。パスワードによる認証はこれまで活躍してきたが、今回の製品提供でパスワードには引退してもらう」と語った。

「これからの世界はパスワードで守ることが難しくなってきた。一般に、人が覚えられるパスワードは3個程度。ユーザが多くのサービスを利用する中で、パスワードの使い回しが発生し、脆弱なサイトから漏れてしまったID・パスワードによってパスワードリスト攻撃が発生している」「オンラインバンクなどで利用される乱数表、メールやハードウェアトークンによるワンタイムパスワードといった対策もあるが、これらはパスワードの延長上の対策であり、ユーザの利便性や生産性を損なっている」(同氏)とする。

「利便性や生産性を損なわずに、セキュリティをしっかり守ることが重要。今回の発表は、技術としてはID認証ではないかと思われるかもしれないが、世界を大きく変えるポテンシャルを持った、革命的なすばらしい製品だ」(同氏)と製品に対する自信を語った。

米シマンテックコーポレーション プロダクトマネジメント担当シニアディレクターのロジャー・カザルス氏は、「パスワードへの依存がセキュリティ全体の弱体化につながっている。この課題を解決しないといけない。乱数表やワンタイムパスワード、チャレンジレスポンスといった利便性を損なう仕組みではなく、提案するのは"パスワードの必要性を無くす"ということ。VIPは認証に革命をおこす」と述べた。

警察庁の発表では、2013年にオンラインバンク被害総額が14億円を超えた。また、パスワードリスト攻撃による不正ログインが多発した年でもあった。フィッシング、標的型攻撃、MITB攻撃(セッションを乗っ取るMan in the Browser攻撃)など、ID・パスワードによる認証への脅威が増大している。このような脅威に対して、ワンタイムパスワードの煩雑さや脆弱性を排除し、簡単に操作で高いセキュリティレベルを提供するというのが、今回のシマンテックVIPの狙いとなっている。

モバイルプッシュ認証を提供するVIPの裏側では、以前に使われたことがある端末かどうかや端末の場所、ネットワーク情報などをベースとしたリスクベース認証によって、より強固な認証システムを構築することも可能となっている。

普及が進むスマートデバイスを利用したこのモバイルプッシュ認証は、デモのオンラインバンクだけではなく、さまざまなシーンにも活用できる。リアル生活のシーンでも、ATMで送金する際にプッシュ通知を送ることで振り込め詐欺対策に使える可能性もある。また、個人情報の受け渡しのアクセス許可(電子化された医療カルテを他病院に渡すなど)にも利用できるだろう。クレジットカード決済時に一定金額以上のだとプッシュ通知が届くといった不正利用防止策も考えられる。