RSA、リスクベース認証製品に新機能－モバイル決済のリスク分析を強化

マーケティング統括本部 プロダクトマーケティングマネジャーの水村明博氏

　RSAセキュリティ株式会社は5月21日、リスクベース認証ソリューション「RSA Adaptive Authentication」で、携帯電話やスマートフォンといったモバイル機器への対応を広げる機能強化を発表した。

　RSA Adaptive Authenticationは、オンラインサービス利用者の行動をもとにリスク分析を行い、リスクが高いと判定されたときに、ID・パスワード以外の認証を追加するリスクベース認証を実現する製品。

　ユーザーが利用するデバイス情報、ネットワーク情報、行動パターンなどのほか、「RSA eFraudNetwork」で更新されるブラックリスト情報を加えた100以上の項目を用いて、ユーザーのアクセスにひそむリスクをリアルタイムに分析。普段の利用状況と著しくかい離し、なりすましなどのリスクが高いと判定されると、ID・パスワード以外に「秘密の質問」「電話やメールによる本人確認」「ワンタイムパスワードや電子証明書による認証」などを追加して、本人確認の精度を高める。

　またログイン後も、「振込」「振替」「預け入れ」「住所変更」「パスワード変更」などのトランザクションを監視し、「振込先を変更したあとに多額の送金」など、妙な操作が行われた場合も追加認証を要求できるのが特長。

リスクベース認証の概要	リスク分析の評価要素

　今回は同製品において、モバイル機器への対応を強化した。昨今、国内でのオンライン決済市場では、PCに加えて携帯電話やスマートフォンを利用するユーザーが増加。NRIの調査によれば、2008年度のオンライン決済取引金額は約2200億円だが、2013年度にはモバイル決済がけん引し、4500億円に達すると見られている。それに合わせるかのように、不正アクセスの件数も増加しており、それらを受けての機能強化である。

オンライン決済市場はモバイルがけん引し、2013年度には4500億円に到達	不正アクセスの件数も増え、年間2000件を突破

　まず「携帯電話などではデバイスID（Cookie）が保管できないことも多い」（マーケティング統括本部 プロダクトマーケティングマネジャーの水村明博氏）ことから、リスク分析の要素として、新たにデバイス識別子（携帯電話特有の情報）をサポート。携帯電話でもきちんとリスク分析を行えるようにした。携帯電話が送信するすべての情報を、リスク分析要素に加えることができるという。

　また、「モバイル機器は移動する」ことをあらかじめ考慮に入れたリスク分析も実現。RSA Adaptive Authenticationでは、ネットワーク情報（アクセス元のIPアドレスなど）もリスク分析に利用するが、モバイル機器の場合は利用者とともに移動するため、IPアドレスはころころと変わる。従来はこの場合も高リスクと判定し、頻繁に追加認証を要求、ユーザーの利便性を損なっていたのだが、今回からそういったこともなくなるという。

　「これにより、オンライン不正に対して、PC利用者だけでなくモバイル利用者も保護することが可能だ」（水村氏）とのこと。