3月9日、日本ベリサインは企業のための高度な認証の導入を推進する新戦略「SAFE(Strong Authentication For Enterprise)」を発表した。発表会においては、米フォレスターリサーチの調査を元に、企業の認証に関わるどのような課題があるか、どのような対策がありえるかが説明された。
ヘルプデスクの3割はパスワードの再発行業務!
発表会ではフォレストリサーチの調査について、米シマンテックのユーザーオーセンティケーション担当バイスプレジデントであるアトリ・チャタジー氏が説明した。調査の目的は過去数年のIT環境の変化を探り、その変化が認証戦略にどのように影響を与えているかを調べること。対象は1000~2万人の従業員を持つ北米の306の企業で、おもにITマネージャ、CTO、CIOなどに調査を行なったという。
米シマンテックのユーザーオーセンティケーション担当バイスプレジデントであるアトリ・チャタジー氏
まず前提となるIT環境の変化としては、企業の境界を越えてITが利用されている点で挙げられる。調査によると、すでに76パーセントの企業がSaaSを用いており、Web会議やメール、IMなど企業外とのやりとりを前提とするコミュニケーションツールも一般的に用いているという。さらに、「25%の企業がパーソナルデバイスや自宅のPCで企業のLANにアクセスを許可している。これはこの5年でもっとも大きな変化だ」(チャタジー氏)といった動向もある。しかし、その結果として54%の企業が昨年(2009年)にデータ漏えいを経験しているという。
76%の企業がSaaSを導入。54%の企業がデータ漏えいを体験
次にアクセスに関する問題がパスワードの管理だ。前述のようにSaaSの利用が増えている昨今だが、認証はいまだにIDとパスワードが使われているという。そして、調査によるとこうしたIDとパスワードによる認証を強化するため、「4社に1社は従業員に対して平均6つのパスワードを覚えることを強いている」(チャタジー氏)ほか、パスワードの更新頻度も高められているという。その結果、ヘルプデスクの業務の3割は、パスワードの再発行に費やされており、多大のコストがかかっているのが実態だ。このコストを劇的に下げ、セキュリティを強化するのがパスワードやIDに依存しない高度認証(Strong Authentication)だという。
27%の企業が従業員に6つのパスワードを強いている
高度認証は20年前からあるが……
高度認証は決して敷居の高いものではなく、すでに20年前からある。チャタジー氏は「カードをなくしても、暗証番号がなければお金は引き出せない銀行のキャッシュカードは、(所有と暗証番号を組み合わせた)二要素認証の典型。われわれは日々使っている」と語る。こうした高度認証を導入し、脅威に対抗するのが企業として推奨すべき事項だという。これを促すキャンペーンが「SAFE」で、シマンテックグループでは高度認証を導入するまでの5ステップといった冊子を作成したという。
ベリサインは、PKIをベースにした電子証明書、一定時間で使い捨てのパスワードを発行するワンタイムパスワードを実現するVIP(Verisign Identitiy Protection)、オンライン詐欺を検出するFDSなどの高度認証の製品とサービスを古くから展開している。「導入負荷、強度や目的が異なっており、3つの製品とサービスで完璧なソリューションを実現している」(日本ベリサイン代表取締役社長 古市克典氏)。昨今では、既存のシステムに高度認証をプラスするクラウドサービスも展開しており、以前に比べて敷居が下がっているという。
ベリサインが提供する3種類の高度認証製品
とはいえ、高度認証の導入は遅れており、導入している企業も一部のユーザーのみが対象となっている現状はベリサインも認める。この背景には、既存のシステムはハードウェアトークンをベースにしているため「高度認証は高い」、そしてソフトウェアをメンテナンスする必要もあるため「導入や運用が難しい」という2つが挙げられる。しかし、チャタジー氏は技術や動向が大きく変化しており、すでに高度認証導入の敷居は下がっていると述べる。「多くの人が携帯電話やスマートフォンを持っており、これを認証デバイスとして使うことでコストを下げられる。認証サーバーもクラウド化され、月額課金で利用することが可能だ」(チャタジー氏)とのことで、イメージと違って高度認証は以前より容易に導入できると強調した。
