- 2007/04/17 掲載
【特別インタビュー】重要性や重みを判断した上でセキュリティ対策を--RSA セキュリティ 山野氏
RSAセキュリティ 代表取締役社長 山野 修 氏
2007年4月25日から4月26日にかけて、ザ・プリンスタワー東京で、セキュリティの祭典「RSA CONFERENCE JAPAN 2007」が開催される。日本版SOX法や個人情報保護法などの対策を受け、近年ますます広がりをみせるセキュリティマーケット。同イベントの開催に先立ち、古くから暗号技術のパイオニアとして、この分野を切り拓いてきたRSAセキュリティ 代表取締役社長 山野修氏に、セキュリティの動向や事業戦略について聞いた。
好調のワンタイムパスワード
|
RSAセキュリティ 代表取締役社長 山野 修 氏 |
国内の大企業や通信事業者を中心にOTP製品の需要が増えました。社外から会社のネットワークにアクセスしたり、メールを見る場合などに、本人認証という形で導入され、国内で約220万、全世界では約3100万のユーザーがいます。今はインターネットバンキングの分野で、さまざまな商取引をすることが多くなってきました。ところが、インターネットの向こう側にいる本人を特定することは難しい。本人を認証する際には、当然パスワードが利用されますが、より安全なセキュリティを担保するためには、パスワード +アルファの強固な本人認証のしくみが必要です。
海外の大手オンラインバンキングでは、パスワードとともに、このOTPを利用して本人認証したうえで、いろいろなサービスを受けられるようになっています。特に米国では昨年2006年の12月末までに、オンラインバンキングやオンライントレード、さらにオンラインの保険販売をする際、パスワード以外にもう1つの認証を用意しなければいけないというガイドラインが発行されています。
日本でも昨年来から、三井住友銀行のオンラインバンキングサービスにOTPトークンが用いられています。ジャパネット銀行では全会員にOTPを配布しています。今後は地方銀行や信用金庫などでも利用が始まるでしょう。実は今現在でも、いろいろな事故や事件が発生していますから、それらを未然に防ぐという意味で、横展開が始まると思っています。
──OTP以外での取り組みについてお聞かせください。
強力な認証のニーズはますます高まると見ています。まだまだ多くのユーザーは固定パスワードだけで本人認証をしており、ギャップがあると考えています。電子認証やOTPと、一番軽いパスワードの間にあるリスクを回避する必要があります。
そこで弊社は、リスクに応じて判断し、認証を行う「リスクベース認証」の技術や製品を提供しています。これは、たとえばIPアドレスやプロバイダーの情報であったり、さらにPCに含まれている固有情報といったサービスの利用者にとって負担のない情報をリスクの判断材料にする認証技術です。あるユーザーが一回登録すると、次回からログインしたときに、ログイン時の情報を比較して、そのユーザーが本人であるのか、そうでないのかのリスクを判断します。そして、そのリスクに応じて、金融機関やサービス提供会社側で判断を行い、次のステップに進めるかどうかを決定できるようになります。
──リスクベース認証は何をベースにしているのでしょうか?
現在のオンラインサービスの多くは、100%全員が正しいという前提に立って、固定パスワードだけで判断しますが、リスクベース認証の場合は、リスクが高いユーザーを自動的に検出します。たとえばユーザーが突然海外に行ったり、PCの変更があった場合などのほか、犯罪を試みようとしている疑いがある場合です。そして後者のユーザーを抽出し、銀行やサービス提供会社で対策できるように、スコアリングできる技術として提供しているのです。このようにリスクに応じて判断し、認証の強化を図れるような技術も提供しています。
日本でもいっそうフィッシングが活発に
──ほかにもフィッシングの撲滅の取り組みもされていますが、この動向は?
RSAは暗号、電子認証、OTPといった技術を提供する会社としてスタートしました。情報セキュリティのコアとなる技術を持ち、さまざまな製品や新しいタイプのサービスを提供しています。たとえば、フィッシング対策の取り組みもその1つです。
日本でもフィッシングの事件が発生していますが、それほど顕在化していないようです。フィッシングは海外からの犯罪者が多く、まず米国やヨーロッパ圏、英語圏を対象にして犯罪を仕掛けていますので、まだ日本は犯罪のターゲットにはなっていません。国内で被害が少ない理由としては、日本語という特有の問題や、対象が限定されているということがあります。とはいえ、たぶん数年以内には、こういったフィッシング事件が増えて、社会的な問題に拡大していくだろうと思います。日本はそれなりの経済大国ですし、消費マーケットも大きいので、いざターゲットになれば大きな事件に発展する恐れがあります。
──フィッシングの抜本的な対策はあるのでしょうか?
いろいろな会社がフィッシングサイトを見つけて、それを運営する悪質なエンドユーザーに警告していますが、どちらかというと事後的な再発防止策です。フィッシングサイトが発見されたら、それを予防するようなソフトウェアやサービスは多くありますが、フィッシングサイトそのものをシャットダウンするものではありません。弊社が提供するサービスでは、フィッシングサイトを発見した段階で、すぐに対象サイトを閉ざしにいきます。国内のサイトであれば、銀行やサービス提供会社が自らこの手のサイトをシャットダウンすることは簡単かもしれません。しかし、たとえばロシアや東ヨーロッパのように海外からの犯罪は、場所も遠く、言語も違いますので、対策に数日間は掛かります。それに対して、弊社のサービスを利用すれば最短約5時間でフィッシングサイトをシャットダウンできます。このサービスを約3年間にわたり提供し、すでに約2万5000のフィッシングサイトをシャットダウンしてきた実績があります。
関連コンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
関連コンテンツ
あなたの投稿
PR
PR
PR
