「本人らしさ」を学習してリスク度を分析、セキュリティ強化と利便性向上を両立

「RSA SecurID Access」最新版、リスクベース認証機能を搭載

2017年06月21日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　EMCジャパン RSA事業本部（RSA）は6月20日、企業向け認証／シングルサインオン（SSO）システム「RSA SecurID Access」最新版を提供開始した。新たに、ユーザーの利用デバイスや地理情報、時間帯、IPアドレスなど、複数のビヘイビア（ふるまい）要素から「本人らしさ」をリアルタイムに分析し、ログイン可否を判断する「リスクベース認証機能」を追加し、セキュリティ強化と利便性向上を両立させている。

EMCジャパン RSA事業本部マーケティング部部長の水村明博氏

EMCジャパン RSA事業本部システムズエンジニアリング部部長の八束啓文氏

　RSA SecurID Accessは、企業の各種オンプレミスWebアプリやクラウドアプリ（SaaS）、モバイルアプリ、VPN、VDIなどのシステムに対するログインを統合し、SSO環境を提供する認証システム。SecurIDトークンだけでなく、スマートデバイスを利用した生体認証（指紋、虹彩）やプッシュ承認などの認証手段を組み合わせて利用できる。

　今回提供を開始した最新版では、最上位エディション（プレミアムエディション）において、ふるまいを動的分析するリスクベース認証機能が追加された。

ユーザーのビヘイビアに基づく動的なリスクベース認証の仕組み

　この機能では、ユーザーのログイン処理時に利用デバイス（ブラウザの種類やプラグイン数、画面解像度など）や地理情報（モバイルデバイスのGPS情報）、利用時間帯、接続元IPアドレス、利用アプリケーションなど、およそ65種類の属性情報を収集して「ユーザーの利用傾向」を学習していく。この学習結果に基づき、ログイン時に「本人らしさ」を動的に判定し、リスク度を分析する仕組み。これにより、たとえばリスク度が「低」ならばそのままログインさせるが、「中」ならばほかの手段（トークンやモバイルデバイスなど）による追加認証を要求、「高」ならばログイン拒否、といった処理ができる。

　従来は、静的に設定されたルールベースのリスク分析機能だけだったため、分析の精度が低かった。今回、ユーザーごとに学習を行う動的な分析機能が加わったことで、両者が補完的に働き、より高精度なリスクベース認証が実現する。

スタティック分析（静的）とダイナミック分析（動的）の違い

　SecurID Access最新版ではもうひとつ、オーセンティケータ（認証手段）の統合もなされている。これまで、VPNやVDIへのログイン処理についてはSecurIDトークンが必要だったが、クラウド／オンプレミスWebアプリと同じくスマートデバイスを利用可能になった。

　発表会に出席したRSA システムズエンジニアリング部部長の八束啓文氏は、新機能のリスクベース認証は「その人本人であることを、さまざまな情報分析によってあぶり出す」機能だと説明した。リスクが低い場合は認証が簡素化されてユーザーの利便性が高まり、逆にリスクが高い場合は追加認証を求めるのでセキュリティが高まる。

　また、RSA マーケティング部部長の水村明博氏は、リスクベース認証の仕組みはオンラインバンキングなどのコンシューマー向けサービスですでに採用されており、今回の機能追加は「一般消費者でも知っている、使える機能を、企業システムに導入するもの」だと語った。

　なお、リスクベース認証機能を備えたRSA SecurID Accessプレミアムエディションのサブスクリプション価格は、1000ユーザーで745万2000円から（税抜、年額、保守料金は別途）。