2月23日、CA Technologiesは不正行為防止ソリューション「CA Arcot RiskFort」とソフトウェアベースの認証ソリューション「CA Arcot WebFort」、両者をクラウドサービスとして提供する「CA Advanced Authentication Cloud Service」を発表した。RiskFortとWebFortは、2010年10月に米本社が買収した米アルコット・システムズ(Arcot Systems)の製品。Arcotはほかにも多くのセキュリティ製品を扱っているが、日本展開第1弾はこの2製品となった。
Arcotについて解説を行なう、CA Technologiesマーケティング本部プロダクトマーケティングマネージャの金子以澄氏
デバイスの特徴で不正を検知する「RiskFort」
1つ目の新製品RiskFortは、リスクベース認証によりアイデンティティ情報の盗用やオンライン詐欺に対してのリアルタイム保護を行なう製品だ。リスクベース認証において、アクセスしてきたデバイスの特徴を調査する「DeviceDNA」機能を搭載するのが大きな特徴となる。
不正行為を見つけ出す「RiskFort」
一般的なデバイス認証では、クッキーなどの特定のタグを利用する。一方DeviceDNAでは、搭載するブラウザのバージョンなど、デバイスごとに異なる特徴を使って不正検知を行なう。前回のアクセス時からデバイスの特徴がしきい値以上異なっていれば、デバイスが不正をみなす仕組みだ。
また、Arcot Fraud Prevention Networkという危機情報をシェアする仕組みを用意。ワールドワイドで情報を共有して、不正に対抗していくという。
ソフトウェアのみで、二要素認証が可能な「WebFort」
2番目のWebFortは、スマートカードとパスワードのように2つの要素を使った認証(二要素認証)を、ソフトウェアのみで行なう認証機能「Arcot ID」を提供するソリューションだ。PCに加え、iPadやiPhone、Blackberry、Androidのようなスマートフォンにも対応する。
ハードウェア認証なみのセキュリティをソフトウェアのみで実現
そもそも、スマートカードのようなハードウェアを利用する場合、発行や紛失時の再発行など管理上の手間が発生してしまう。しかし、Arcot IDであれば、ソフトウェアのみのため運用工数の削減が可能となる。またパスワードを入力するだけで認証されるため、ユーザーの手間も削減可能だ。
ワンタイムパスワードと比べてもメリットが大きい
内部的には、公開鍵/秘密鍵を利用するPKI(Public Key Infrastructure)に、一工夫を加えている。認証に使う証明書はPCやスマートフォン本体などのデバイス本体にインストールするが、その証明書はインストールしたデバイスでしか使えない仕組みがある。そのため、ウイルス感染などで証明書を盗まれても、ほかのデバイスからは認証に使えない。
もちろん、デバイスごと盗まれたら証明書も持って行かれてしまうが、これはスマートカードの場合も同様だ。併用するパスワードを破られる/別途盗まれる前に、証明書を無効にすることになる。
CA初のSecurity as a Service
3番目のCA Advanced Authentication Cloud Serviceは、冒頭で解説した通り、RiskFortとWebFortをクラウドサービスとして提供するものだ。CAではクラウドに関するセキュリティとして
- To The Cloud
- For The Cloud
- From The Cloud
の3種類を提唱している。
クラウドのセキュリティを3種に分類
To The Cloudはクラウドベースのアプリケーションとサービスに対するセキュリティ、For The Cloudはクラウド事業者に対するセキュリティ。そしてFrom The Cloudは、クラウドの仕組みを利用し、セキュリティをサービスとして提供する(Security as a Service)といった意味だ。
ただし、To The CloudにはCA SiteMinder、For The CloudにはCA Access Controlといった製品が存在するが、From The Cloudに該当する製品が存在しなかった。この最後のピースを埋めるのが、SaaSであるCA Advanced Authentication Cloud Serviceとなる。
Arcot製品によりFrom The Cloudも満たされた
オンプレミスのRiskFort/WebFortはおもに大企業がターゲットであるのに対し、CA Advanced Authentication Cloud Serviceは大企業から中小中堅企業まで幅広い企業をターゲットとする。大企業では自社内のシステムとの組み合わせ、中堅企業などではパートナー企業によるサービスを利用するケースも想定しているようだ。
クラウドとオンプレミスを巧みに使い分ける営業戦略
