このページの本文へ

ベリサインがオンライン詐欺対策「ベリサインアイデンティティプロテクション」説明会を開催

2006年12月06日 00時00分更新

文● アスキービジネス編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

日本ベリサインは都内で記者説明会を開催し、高度化するオンライン詐欺の最新動向と、その脅威からユーザーを守る「ベリサインアイデンティティプロテクション」の概要を説明した。

さらに高度化するオンライン詐欺の脅威

 インターネットが普及することで、我々の生活やビジネスはさまざまな恩恵を受けてきたが、その半面、オンライン詐欺のような脅威も生じている。これらの脅威は年々新たな手法が登場し、高度化している。これに対処するためには、より強固な認証の仕組みが必要となる。

 ベリサインは、SSLサーバ証明書でよく知られている会社だ。eコマースサイトを利用すれば、必ず「VeiSign Secured」のシールを目にするだろう。そして同社が提供するオンライン詐欺対策のソリューションが、「ベリサインアイデンティティプロテクション」(VIP)だ。

 日本ベリサインのマーケティング部 相原敬雄氏は、ネットを介した攻撃の動機が初期の功名心から、利益のために変化していると語る。そしてクラッカー個人が攻撃していた時代から、今では組織化が進みつつあるという。内容もかつては不特定多数をターゲットとしているために、不自然な文面のものが見られたが、今では「手術攻撃」と呼ばれるピンポイント攻撃の手法も登場している。

 相原氏によればクラッカー用のツールも高度化しており、多くのボット(クラッカーにコントロールされてしまうPC)を操るための分かりやすいGUIを備え、通信に一般的なHTTPを使用するものがあるという。これらのツールは「プログラム作成のプロ」の手によるものと考えられている。

 このようなオンライン詐欺に対処するためには、Webサイトおよびユーザーそれぞれに強固な認証が必要だ。ベリサインでは、Webサイトの認証として、おなじみのSSLサーバ証明書や次世代のSSLであるEV(Extended Validation)SSLといった仕組みを用意している。そしてユーザーサイドの強力な認証に関する包括的なソリューションが「ベリサインアイデンティティプロテクション」(VIP)である。

 VIPには「オンライン詐欺検出サービス(FDS: Fraud Detection Service)」、「オーセンティケーションサービス」という2つのサービスを用いて、ユーザー保護する。FDSは、(1)不正行為の検出、(2)リアルタイム介入、(3)捜索と解決という3つの機能を持つ。

 「不正行為の検出」とは、あるユーザーの不自然な行為を見つけ出すことで、具体的には日本在住でネットバンクを利用しているユーザーのIDとパスワードが、急に中国から利用されるといった状況をピックアップできる。

 「リアルタイム介入」とは、不正と思われる行為を見つけ出した際に、その場で対応を行なうことだ。前述の例で言えば、不正使用の可能性以外に、たまたまユーザーが中国に出張していて、現地から使っていることも考えられる。この場合VIPは、通常のID/パスワード認証後に本人確認用の質問を行ない、不正使用を極力防ぐ。

 オーセンティケーションサービスは、ICカード、トークン、携帯電話など複数のデバイス、ワンタイムパスワード(OTP)、チャレンジ&レスポンスなど複数の認証方法をサポートした強固な認証プラットフォームだ。「OATH(Initiative for Open AuTHentication)」で規定されたオープン標準により、ネットバンク、株取り引き、公共サービスなど複数のサービスをカバーする共通の認証ネットワークを実現する。これは一見すると「.NET Passport」や「Liberty Alliance」など実現しなかった単一認証サービスに似ているように思えるが、各サイト固有のID/パスワードが残る点、個人情報は共有しないなどの点が異なっている。

 相原氏は「強固だが使うのが面倒な仕組みを導入すると、ユーザーはそれを使わないので、かえって危険になる」と語る。VIPが供するセキュリティシステムは、ユーザーに不便を強いることなく、よりセキュアな環境が実現できる。

■関連サイト
日本ベリサイン株式会社
http://www.verisign.co.jp/

カテゴリートップへ

ピックアップ