5月10日、EMCジャパンは中堅中小企業向けの認証アプライアンス「RSA Authentication Manager Express 1.0(RSA AMX)」を発表した。RSAセキュリティ(2011年1月1日よりEMCジャパン RSA事業本部)が金融機関向けに提供している「RSA Adaptive Authentication」の「リスクベース認証機能」を搭載する。
ラックマウントサーバーに認証機能と搭載した「RSA Authentication Manager Express 1.0」
本製品は、ユーザーID/パスワードによる認証に加えて、「ユーザーが所有しているもの」と「ユーザーの行動」からリスクを判定。しきい値を超えている場合には、「追加認証」をユーザーに要求する仕組みを持っている。
リスクベース認証とDemandトークン認証 による追加認証が特徴だ
ユーザーが所有しているものとは、アクセスに利用したWebブラウザの種類やクッキー情報など。たとえば、これまでとは異なるWebブラウザでアクセスしてきた場合、ユーザーID/パスワードが盗まれ、第三者が不正な認証を行なっているかもしれないと判断するわけだ。もう1つのユーザーの行動は、アクセス元のIPアドレスや過去の認証履歴、アカウント更新情報などとなる。たとえば、日本のIPアドレスからの認証直後に、アメリカのIPアドレスからアクセスがあれば怪しいと判断できる。
こうして、ユーザーが所有しているもの/ユーザーの行動による判定でしきい値を超えた場合、追加認証を行なう。これには、
- 秘密の質問による認証
- On-Demandトークン認証
とがある。秘密の質問による認証は、「母親の名前は?」といったあらかじめ登録しておいた質問に答える方式だ。一方、On-Demandトークン認証は事前に登録したメールアドレスにワンタイムパスワードを送信し、それを入力する認証方式になる。一般的なワンタイムパスワード認証では専用のデバイスを利用することがあるが、On-Demandトークン認証はメール環境があれば利用できるメリットがある。
ワンタイムパスワードを送信するOn-Demandトークン認証
以上がRSA AMXが提供する認証機能だ。認証の強化には、パスワードの文字数を増やしたり、頻繁な変更を強要する方法もある。しかし、これではユーザーの負担が高くなったり、パスワードをディスプレイ脇に貼ってしまうといった可能性も生じる。これに対しRSA AMXでは、リスクが高いと判断した場合だけ追加認証を行なうため、通常時にはユーザーの負担も手間も増えることがないメリットがあるという。
金融機関向けのRSA Adaptive Authenticationはソフトウェアだが、RSA AMXはアプライアンスのみの提供で、今後は仮想マシンとして動作するバーチャルアプライアンスとしての提供も考えているという。シスコシステムズやF5ネットワークス、シトリックス・システムズなどの主要なSSL-VPN製品やWebアプリケーションとの連携は検証済みで、SSL-VPNの認証部分にのみRSA AMXを使うことが可能だ。
SSL-VPN製品との連携が可能だ
販売開始は8月22日の予定で、価格はユーザー数ライセンスによって異なり、25ユーザーで31万円、100ユーザーで115万円。この価格には3年分のハードウェア保守費用が含まれているが、ソフトウェア保守費用は別途必要となる
