これからの企業に必要なのは「リスクベース認証」- RSA幹部の見解

[2019/07/29 08:00]鈴木恭子 ブックマーク ブックマーク

セキュリティ

デジタルトランスフォーメーション(DX)に取り組む企業は、同時にデジタルリスクにも直面する。企業はDXを推進する同じスピードで、サイバーセキュリティ対策にも取り組む必要がある――。

こう語るのは、米Dell Technologies傘下の米RSAでシニアバイスプレジデント兼製品担当を務めるグラント・ゲイヤー(Grant Geyer)氏だ。

米Dell Technologies傘下の米RSAでシニアバイスプレジデント兼製品担当を務めるグラント・ゲイヤー(Grant Geyer)氏

近年、RSAは「サイバーセキュリティ企業」から「デジタルリスク管理企業」へと変貌を遂げている。ゲイヤー氏は、「DXに伴い、企業はこれまで以上にデジタルツールを活用するようになった。従来のセキュリティツールでは、こうしたデジタルツールの管理は難しい」と警鐘を鳴らす(関連記事『デジタルトランスフォーメーションがもたらすリスクにどう対処するか?』)。

DX時代に合わせたデジタルリスク管理には、これまでとは異なったアプローチが求められると力説するゲイヤー氏。では、何に留意し、どのような対策を講じればよいのか。7月16日から3日間、シンガポールで開催されたセキュリティの総合コンファレンス「RSA Conference 2019 Asia Pacific & Japan」で、ゲイヤー氏とEMCジャパン 執行役員 RSAゼネラルマネージャー日本および韓国担当の貴島直也氏に話を聞いた。

「みんな揃って二段階認証」への危惧

かねてから日本企業は欧米企業と比較し、セキュリティ対策とそれに割く予算が低調だと指摘されていた。しかし、貴島氏は、「最近は、フォレンジック(インシデントの全容を調査/分析して対策を講じること)に対し、お客様からダイレクトに引き合いがあります」と語る。

EMCジャパン 執行役員 RSAゼネラルマネージャー日本および韓国担当の貴島直也氏

実際、RSAのSIEM(Security information and event Management:セキュリティ情報イベント管理)製品である「RSA NetWitness Platform」や、アクセス管理/ID認証の「SecurID」は、日本での売上げが前年比30%増と堅調な伸びを見せているという。

「特に、『RSA SecurID』は、金融機関向けの認証システムとして関心を寄せていただいています。われわれは、セキュアIDアクセス(認証基盤)として『Fraud & Risk Intelligence Suite』を提供しています。これは、複数チャネルのオンライン不正行為の検出/調査を行う製品です。これまで同製品に対するお問い合わせは、オンライン・バンキングを運用する金融機関からのものがほとんどでした。しかし、最近では(購買に応じて値引きするような)ポイントを扱う企業からの引き合いも多くいただいています」(貴島氏)

こうした背景には、ポイントがオンライン上で通貨と同様の価値を持つものとして扱われていることが挙げられる。特に、2019年10月の消費税増税後は、キャッシュレス決済によるポイント還元が開始する。そのため、個人情報に紐付いたポイントデータを扱う企業は、金融機関と同等のセキュリティ認証が必要になるのだ。

2019年7月、セブン&アイ・ホールディングスのスマートフォン決済サービス「7pay(セブンペイ)」で、大規模な不正利用が判明した。その原因の1つに挙げられているのが、二段階認証を導入していなかったことである。貴島氏は、「個別事案の影響についてコメントする立場にありませんが……」とした上で、「(今回の不正利用が判明する)以前から、RSAでは『二段階認証』に対するお問い合わせには『多要素認証』を提案していました。さらに最近では、『リスクベース認証』を推奨しています」と語る。

一般的に二段階認証(二要素認証)は、IDやパスワードの入力のほかに携帯電話の番号に紐付いたSMS(Short Messenger Service)によるワンタイムパスワードなどを使って本人確認を行う認証を指す。RSAはワンタイムパスワード製品に長年の実績があることから、「(ワンタイムパスワードによる)二段階認証に関する問い合わせは多くいただく」(貴島氏)という。

これに対し、多要素認証は、SMSによるワンタイムパスワードだけでなく、指紋や虹彩などの生体認証、ハードウェア・トークン、ソフトウェア・トークン、FIDOトークンなど、広範な認証を複合的に利用する認証方法を指す。

さらに、リスクベース認証とは、ユーザーの基礎情報や行動情報といった判定要素をダイナミックに分析し、ログインの可否を動的に判断するもの。例えば、IPアドレスや地理情報、利用デバイス情報をリアルタイムで分析し、乗っ取り(成り済まし)のリスクがあると判断した場合には、追加認証を要求する。リスクベース認証は提供するサービスとそのリスクのレベルに応じて認証強度を変更できる。

貴島氏は、「全てにおいてニ段階認証(二要素認証)を導入することは、ビジネスドリブン(ビジネス駆動型)の観点から見ればマイナスになることもあります」と指摘する。

「例えば、デリバリーピザなど、簡単に注文できることをメリットにしているサービスで二段階認証を導入した場合には、2回目の認証要求でユーザーが離脱する可能性があります。日本人は真面目ですから、(今回の事件を受けて)多くの企業が全てのアクセスに、ニ段階認証(二要素認証)を導入することも考えられます。しかし、これではビジネスチャンスを失う可能性がありますし、DX時代に逆行することになりかねません。そのような観点からもリスクベース認証を推奨しています」(貴島氏)

「RSA Conference 2019 Asia Pacific & Japan」の会場となったシンガポールの「マリーナ・ベイ・サンズ・カンファレンスセンター」

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

見えなければ戦えない - RSAがアジアで力説した「可視化」の重要性

見えなければ戦えない - RSAがアジアで力説した「可視化」の重要性

情報セキュリティの総合カンファレンス「RSA Conference 2018 Asia Pacific & Japan」が、7月25日から3日間の日程で開幕した。本稿では、7月25日に行われた基調講演の模様をお伝えする。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
知りたい! カナコさん 皆で話そうAIのコト
教えてカナコさん! これならわかるAI入門
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る