Enterprise Watch
最新ニュース

日本HPとRSAセキュリティ、SSO+リスクベース認証による安全なWeb認証で協業


日本HP、コンサルティング・インテグレーション統括本部 技術本部 ソリューション技術本部 テクノロジ・ソリューション部の小早川直樹氏

IceWall SSOの概要。アプリケーションの前段でリバースプロキシとして動作する
 日本ヒューレット・パッカード株式会社(以下、日本HP)とRSAセキュリティ株式会社は12月18日、両社の製品を組み合わせた、Webサービスのリスクを排除して安全な認証を実現するソリューションの提供で協業すると発表した。

 協業内容は、日本HPのシングルサインオン(SSO)製品「IceWall SSO」とRSAセキュリティのオンラインセキュリティ強化製品「Adaptive Authentication for Web(以下、AA for Web)」を組み合わせて提供すること。オンラインバンキングなどBtoCのWebサービスにおいて、IceWall SSOで統一されたアクセス環境を実現するとともに、AA for Webにより「リスクベース認証」「ユーザーによるサイト認証」「ワンタイムパスワード(OTP)認証」などの複数の認証手法を提供することで、安全性の高い認証基盤を実現する。

 この連携ソリューションの特長は、各アプリケーションの前段でリバースプロキシとして動作するIceWall SSOに、簡単にリスクベース認証の機能を実装できる点だ。従来アプリケーションにAA for Webを組み込もうとしたら、アプリケーションごとに開発をして実装しなければならなかった。しかし、同連携ソリューションでは、前段のリバースプロキシにAA for Webを組み込むため、各アプリケーションごとの開発が不要となる。今回の協業では、これを実現するため、AA for WebをIceWall SSO上の1機能として動作させる連携モジュールを開発することを最大の目的としている。

 では、なぜ数ある認証手法の中でリスクベース認証なのか。オンラインバンキングなどのWebサービスでは、ID・パスワードだけでは不十分で、OTP認証などを追加した二要素認証とすべきとされている。だが、銀行が一般利用者に対してOTPトークンを配布するのはコスト的にみても現実的ではない。そこでこのリスクベース認証が期待されているのだと、日本HP、コンサルティング・インテグレーション統括本部 技術本部 ソリューション技術本部 テクノロジ・ソリューション部の小早川直樹氏は語る。

 「リスクベース認証は、アクセス元の情報を基に怪しさをスコアリングすることでリスクを評価する方式。デバイスIDやネットワーク情報、ユーザー行動分析に基づく情報、トランザクション情報などを総合的に加味し、0から1000までのリスクスコアでアクセスの怪しさを判断する。ここでメリットとなるのが、ユーザーの利便性を損なわずに認証を強化できる点」(小早川氏)。

 例えば、あるアクセスについてリスクなしと判断できれば、ID・パスワードのみで認証しても問題にはならない。問題となるのはリスクスコアが高い場合のみで、そうした際にはID・パスワード以外の認証を追加することでセキュリティ強度を高める。リスクベース認証では、このようにアクセス状況に応じて、柔軟に認証手法を切り替えることができるのだ。ユーザーは普段通りのアクセス方法でWebサイトを利用する限り、特別に何かを意識する必要がない。


リスクベース認証とは
 具体的に、同連携ソリューションを適用したWebサイトでのユーザー登録・認証手順は以下のようになる。ユーザーはまず登録を行う際に、ID・パスワードのほかに、任意の画像と好きなフレーズ、および任意の質問とそれに対する好きな答えを登録しておく。

 認証を行う際は、ログイン画面にてまずIDのみを入力。IDが入力されると、自動的にリスクのスコアリングが行われ、問題がなければ、ユーザー登録時に設定した画像とフレーズとともに、パスワード入力フォームが表示される。この画像とフレーズにより、確かに自分が登録した正規のWebサイトだと判断できるため、フィッシング詐欺の防止策にもなるという。ここでパスワードを入力すれば認証が完了だ。スコアリングの結果が問題なしの場合は、以上のように簡単に認証完了にまでたどり着く。

 スコアリングの結果に問題が認められた際は、IDを入力したあとの挙動が異なる。この場合は、パスワード入力フォームも画像・フレーズも表示されず、追加の認証としてチャレンジ質問が要求される。ここであらかじめ設定した質問と回答を入力することで、パスワード入力フォームが表示されるという仕組みだ。

 この仕組みを応用すれば、例えば、ID・パスワードのみで認証を行った場合は、オンラインバンキングの残高照会のみ操作可能にし、チャレンジ質問も併せて認証を行った場合は、振込や口座開設などのよりハイリスクの操作も可能にするといったアクセスコントロールも実現する。

 小早川氏は、「オンラインバンキングなどのハイリスクな取引を行うWebサイトが主なターゲットとなるが、それ以外にも一般消費者向けにWebサービスを提供するWebサイトにも需要はある。まだ連携モジュールを開発している段階だが、来年から販売を開始し、BtoCのWebサイトに広く普及を図っていく」としている。

 実際の販売開始時期は、2008年2月になる見込み。協業内容としてはこのほか、市場開拓のための共同提案やセミナー開催などを行っていく予定。最終的には、両社で販売代理店契約を締結し、RSAセキュリティのAA for Webも含め日本HPから一括して提供する体制を整える方針という。


ユーザー登録時に、任意の画像と好きなフレーズを決めておく 認証時、IDを入力したあと、リスクスコアに問題がなければ、画像とフレーズ、ならびにパスワード入力フォームが表示される スコアに問題があった場合は、チャレンジ質問が要求される。あらかじめ設定した質問と回答を入力すれば、二要素認証が完了する


URL
  日本ヒューレット・パッカード株式会社
  http://www.hp.com/jp/
  RSAセキュリティ株式会社
  http://japan.rsa.com/
  ニュースリリース
  http://www1.jpn.hp.com/info/newsroom/pr/fy2008/fy08-030.html


( 川島 弘之 )
2007/12/18 16:39

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.