企業でのモバイルデバイスの利用増加に伴い、モバイルセキュリティ市場も拡大している。IT専門の調査会社であるIDC Japanは2014年10月に2013年の国内モバイルセキュリティ市場規模実績と2018年までの予測を発表している。これによると、2013年における同市場規模は58億円(前年比成長率25.8%増)で、2018年には同市場規模は123億円に拡大すると予測されている(年間平均成長率16.5%)。
IDCでは同市場を「モバイルアイデンティティ/アクセス管理」「モバイルセキュアコンテンツ/脅威管理」「モバイルセキュリティ/脆弱性管理」「その他モバイルセキュリティ」に大別している。中でも成長率がいちばん高いと予測されているのが「モバイルアイデンティティ/アクセス管理」であり、年間平均成長率19.6%で、2013年の8億円から2018年には20億円へと拡大する見込みだ。
「今後モバイルデバイスの認証は、より強度の高いセキュリティが求められる。ただし、ユーザーの利便性を損ねるものであってはならない。ユーザーが利用しやすく、(パソコンなどのデバイスと)シームレスに連携する認証技術が主流になる」
このように語るのは、米RSAでテクノロジー&アイデンティティ担当シニアディレクターを務めるKayvan Alikhani(ケイバン・アリカーニ)氏だ。
Alikhani氏は、複数の認証方式をモバイルデバイスに提供する技術を開発したベンチャー企業であるPassBanのCEOを務めていた人物。同社は2013年にRSAによって買収されたが、PassBanの技術は、RSAが4月に発表したアイデンティティ管理製品「RSA VIAファミリー」の技術要素の1つとして組み込まれている。
「今後は、ウエアラブルデバイスやハードウエアが、認証要素で重要な役割を担う」と語る同氏。モバイルデバイスの認証とアクセス管理について話を聞いた。
認証はエキスパートに"委任"する
|
米 RSA テクノロジー&アイデンティティ担当シニアディレクター Kayvan Alikhani氏 |
Alikhani氏は、モバイルデバイスの認証のトレンドとして、ハードウエア側の機能拡張を挙げる。
「例えば、Appleは、iPhone 6から指紋認証機能の『Touch ID』を搭載した。Microsoftも次期OSであるWindows 10から生体認証機能『Windows Hello』の導入を決めている。さらに富士通は、虹彩認証機能を搭載したデバイスを発表した。デバイス自身がセンサー機能を搭載し、ユーザーの利便性を損ねないような形でセキュリティを強化するようになる」(Alikhani氏)
こうした認証方式の普及は、パスワード認証ではセキュリティの担保に限界があることの裏返しでもある。生体認証はデバイスへのログイン時に利用することが多かったが、モバイルアプリへのログイン時にも同認証を取り入れる動きが高まっている。
実際、AppleではTouch IDをiTunes StoreやApp Storeだけでなく、サードパーティ製のアプリケーションにも組み込めるようAPI(Application Programming Interface)を公開した。これであれば、アプリケーションごとにセキュリティの強度を変更することができる。Alikhani氏は、「モバイルアプリに生体認証の要素を取り入れることは、技術的に難しいことではない」と指摘する。
もう1つ、Alikhani氏が「モバイルアプリのセキュリティを強化する有効な手段」として推奨するのが、「委任認証」である。信用のある承認サービスが、ユーザーの代理としてアクセス権を管理(委任)することで、アプリケーション側で認証に関する開発労力を削減することがきるというわけだ。
モバイルアプリの開発はリリースまでのスピードが要求されており、セキュリティ機能は後回しにされることが多い。こうした現状に対し、Alikhani氏は以下のように指摘する。
「委任認証や管理権限の委任、リスクアセスメントの委任など、認証に関する技術を"委任"という形でセキュリティのエキスパートに任せることで、アプリケーション開発者は最小限の労力でリスクを最小限できる。例えば、先頃発表した『RSA VIA』は、RSAが認証に関する技術を提供している。すべてのアプリケーション開発者がセキュリティエキスパートであれば別だが、認証は"その道のエキスパート"に任せたほうが、セュリティ強度もリリースのスピードも損ねることがない」
|
アイデンティティ管理製品群である「RSA VIA」は、RSAにアクセス権限などを"委任"した形になる |
パスワードなしの認証が主流に? ジェスチャーによる認証も
さらにAlikhani氏は、パーソナルデータのコントロールを利用者中心に行うことを目的とした認証プロトコル「OpenID Connect」や、パスワードなしの認証を実現する「FIDO(Fast IDentity Online)」、リスクベース認証も有用であると語る。
FIDOは生体認証などの情報を使用した、オンラインでのユーザー認証手順(プロトコル)を定めた標準化仕様だ。生体認証情報を、PCやスマートフォンといった端末の安全な場所に格納し、同様にオンラインサービスの認証情報など保存する。
端末側で認証確認を行い、本人と確認された場合には、サービスとの間でKPI(Public Key Infrastructure)を実行する。つまり、FIDO準拠の端末とサーバ間はKPIのやり取りのみであり、安全な認証が行われるというわけだ。Alikhani氏は「FIDOであれば、万が一サーバがハッキングされたとしてもサーバに情報はないのだから(情報流出といった)脅威は低減される」と指摘する(Googleら参加の生体認証の標準化団体「FIDO Alliance」にドコモが加入)。
また、リスクベース認証は、利用場所や時間、アプリケーションの利用頻度などを継続的にチェックし、正規ユーザーの利用パターン基準を把握する。そして、基準から著しく外れた行動があった場合には不正アクセスと判断する仕組みだ。Alikhani氏は「こうした認証技術であれば、ユーザビリティを損ねることがない」と強調した。
今後の認証方式として、注目したいのは、ウェアラブルデバイス(IoT)による認証である。Alikhani氏がCEOを務めていたPassBanは、リストバンドによる認証システムを開発。リストバンドをタップしてひねる(または特定のジェスチャーを行う)と、モバイルデバイス側で認証が行われる仕組みで、両デバイス間の通信は、Bluetoothで行われる。Alikhani氏は「認証手段を物理的に分けることで、セキュリティのハードルを上げることにつながる」と、そのメリットを強調している。
