ベリサイン、クラウドやモバイルで高まるIDの重要性を訴える
今こそ高度認証を再検討すべき時期
米Symantec User Authentication担当Vice Presidentのアトリ・チャタジー氏 |
日本ベリサイン株式会社(ベリサイン)は9日、認証ソリューション事業に関する説明会を開催した。ワンタイムパスワード、電子証明書、リスクベース認証を紹介し、企業は今こそ「高度認証」を導入すべきタイミングと説明。そのメッセージを新戦略「SAFE(Strong Authentication for Enterprise)」に乗せて推進するとした。
なお、今回はVeriSignの電子認証・証明事業がSymantecの傘下に入ってから初の製品戦略発表とのことで、米Symantec User Authentication担当Vice Presidentのアトリ・チャタジー氏が登壇した。
クラウドの普及、リモートワーカーの増加、私用PCでの社内ネットワーク接続など、IT環境は企業の境界を越えて広がっている。北米の306社に行ったForresterのアンケート調査では、76%の企業が少なくとも1つのSaaSを利用し、58%が複数のSaaSを利用し、Web会議(77%)、個人メール(70%)、IM(44%)、ソーシャルネットワーキング(40%)など企業システム外での通信が常態化していることが分かった。
こうした状況で「アイデンティティの保護」が重要な課題になっているチャタジー氏。「複数のパスワードポリシーが従業員の生産性を下げ、パスワード忘れなどに対するヘルプデスク業務で企業のコスト負担が大きくなっている」とした。
Forresterの調査でも、「66%の企業には6つ以上の異なるパスワードポリシーが存在する」「87%の企業ではユーザーは2つ以上のパスワードを記憶する必要があり、6つ以上という企業も27%存在する」「81%の企業は、複雑なパスワードポリシーがユーザーの大きな不満であることを認めている」ことが判明。「アクセスに関連する問題の第1位はパスワード問題だ」としている。
そこでベリサインが提案するのが、ワンタイムパスワード、電子証明書、リスクベース認証などの「高度認証」である。が、まだまだ企業での採用は十分ではない。多くの企業が、いかなる形式の高度認証も導入しておらず、導入していても大多数は、自社ネットワークにアクセスするユーザーの一部のみに高度認証を適用しているだけ。この最大の理由は「高度認証ソリューションが高コストだと思われている」(Forrester調査)ためという。
従来の企業境界を越えて広がるIT環境がもたらすリスク | アクセスに関連する問題の第1位はパスワード問題 |
ベリサインが提供する高度認証ソリューション |
チャタジー氏はこの認識に対して「誤った認識だ」と否定する。例えば、ワンタイムパスワードを実現する「ベリサイン アイデンティティ プロテクション(VIP)」では、ニーズにあったトークンを選択できる、クラウドベースのサービスを実現している。「確かにハードウェアトークンしかなかった頃は1台20ドル程度のコストがかかり、かつ自社内で認証サーバーを運営しなければならないため運用コストがかさんでいたが、いまは逆にTCOを削減できるほどにサービス内容が充実している」というのだ。
ソフトウェアトークンには、ケータイやスマートフォン用のアプリケーションが用意されている。これらはいまや1人1台に近い普及率だ。「あえてトークン用のハードウェアを用意する必要はなくなっている」(チャタジー氏)。認証サーバー自体をクラウド化して提供しているため、運用コストもかからない。Forresterの調査で判明したようなID・パスワード運用による苦労と比べれば、大幅にTCOを削減できるというわけだ。
チャタジー氏は「わたし自身利用しているが、1つのクレデンシャルでオンラインバンキング、社内リモートアクセス、Web 2.0アプリケーションなど複数の認証を行っており、非常に便利だ」と話す。
そして「高度認証をオープンエンタープライズのイニシアチブと同調させる」「来るべき脅威と増え続けるリスクに対処するため、高度認証を採用する」「高度認証の適用を選択的な利用から拡大して標準とする」ことを「不可欠な手順および推奨事項」として掲げ、「クラウドやモバイルの発達でIDの重要性が増しているいまこそ、高度認証ソリューションの利用を再検討すべき」(同氏)と提唱した。