ユーザIDとパスワードによるシステム利用認証が危険であることは古くから知られているが、パスワードの定期的変更を求めたり、複雑なパスワードを強制したりすると、ユーザはパスワードを付箋紙に書いて端末に貼っておくことになって逆効果になる。
また生体認証に移行すると、本人不在時の代理ログインの手続きが煩雑になるなど一長一短があって、企業ではなるべくシンプルかつ安全な認証システムを求めているところである。
今般、EMCジャパンは、複数の認証方式を組み合わせたリスクベース認証機能による高度な認証、高いユーザ利便性、管理の容易性という3つのユーザ・メリットを実現した認証サーバの新製品「RSA Authentication Manager Express 1.0(アールエスエー・オーセンティケーションマネージャ・エクスプレス 1.0)以下RSA AMX」2011年5月10日より販売開始する。
「RSA AMX」は、ユーザの認証要求を複数の要素で分析してリスクを判定し、認証の可否を決定するアプライアンス型リスクベース認証サーバである。
認証サーバは、リスクが低いと判定する場合(例えば、日頃と同じPCや場所からログインしている)は、IDと固定パスワードのみで認証する。
一方、リスクが高いと判定する場合(例えば、東京からログイン後、5分後に米国からログインが試みられている)は、追加の認証を求める。
「RSA AMX」は、ユーザは複雑なパスワードを必要とせず、新たに覚える操作やソフトウェアのインストール、機器の追加も無いので、ユーザ利便性の高い認証サーバとなっている。
リスク判定は、不正アクセスの様々な兆候を危険度で計測している。
リスク判定要素は、ユーザが知っているもの(IDと固定パスワード)、ユーザが持っているもの(PCなど利用端末のデバイスプロファイル)とユーザの行動(過去の認証履歴や移動プロファイル)の3つである。
これらの要素をリスクエンジンが分析し、認証の可否を判定する。
さらに、リスクエンジンはユーザのデバイスプロファイルや行動パターンを蓄積し、自己学習して判定の精度を高めていく。
「RSA AMX」は、アプライアンスモデルで提供され、主要なSSL VPN製品やWebアプリケーションとの連携性能を検証済みである。
また、高いユーザ利便性を維持し、なりすましや不正アクセスのリスクを軽減して企業情報を保護する。
運用管理の負荷が低く、情報インフラの運用管理に従事する専任者の不在や、兼任者のスキル不足により認証製品の導入をためらっている企業の導入障壁を下げることができる。
一律的に複雑な認証を求めるのではなく、どの端末からどのIDとパスワードでログインしようとしたか、あるいは通常見られないリモートログイン要求があったかなどを中心に、リスクを分析し、それに応じた柔軟な認証体制が取れる点が強みであると言えよう。
(TechinsightJapan編集部 真田裕一)