ベリサイン、ケータイのOTPトークン化を国内でも推進

「VeriSign Secured」に続く新シールも登場へ

米VeriSign 認証製品・戦略担当バイスプレジデントのフラン・ロシュ氏

 日本ベリサイン株式会社は8月27日、認証に関する記者説明会を開催。米VeriSign 認証製品・戦略担当バイスプレジデントのフラン・ロシュ氏が、クラウド時代の認証のあり方などに関して説明を行った。

 ロシュ氏が説明したのは、同社製品のユーザー認証を保護する「VeriSign Identity Protection(VIP)」、公開鍵暗号基盤「マネージドPKI」などについて。これらの特徴と今後の展開を紹介したほか、2010年に提供予定の新サービスについても概要を明らかにした。

認証はSaaS化へ、ケータイをOTPトークンにする流れも

 VIPは主に、Webサイトの本人確認制度を高めるもの。ワンタイムパスワード(OTP)トークンやICカードといった認証クレデンシャルに代表されるサービスだ。VIPの特徴は「オンプレミスではなく、SaaSによるサービス提供である点」(ロシュ氏)。自社内に認証サーバーを立てる必要がないため、導入・運用コストが削減できるまたオープンスタンダードを採用し、1つのクレデンシャルで複数のWebサイト認証が行えるのも特徴だ。

 新たな展開としては、「ケータイの認証クレデンシャル化」を紹介。ケータイをOTPトークンなどに利用するもので、「誰もが持ち歩いているケータイを使うことで、特別なハードが不要となり、ユーザーの利便性を向上できる」(同氏)。

 利用方法としては、「ケータイにアプリケーションをインストールしてOTPを生成」あるいは「サーバーでOTPを生成して必要な時にケータイに送信」のいずれかを選択可能。アプリケーションは無償提供されるため、例えば、銀行サイトなどでユーザーにトークンを配布しているケースがあるが、そのコストを大幅に削減できる。

 米国では2009年初頭に提供開始。4月にはiPhone版もリリースしており、数万件のダウンロードを達成しているという。日本でも具体的な提供時期は未定だが、現在リリースに向けて準備中という。

 ロシュ氏は「以前は認証のアウトソースは好まれなかったが、SaaSの普及で受け入れられるようになっている。将来的には、サービスベースの認証がどんどん採用されていくだろう。当社としてはクレデンシャルの種類を増やすなどで、VIPユーザーをさらに増やしたい」考え。

PKIは一般普及に向け、使い勝手の向上を図る

 公開鍵暗号基盤であるPKIでは、一般利用の推進を図る。PKIの目的は、強固な認証、暗号化、電子署名を実現することだ。「日本は特にPKIに強い国」(ロシュ氏)だが、現状は企業内での利用にとどまっている。今後の展開としては、「企業のみではなく、暗号化メールや一般消費者の利用など、より幅広いシーンでの適用を目指して、使い勝手の向上に努める」(同氏)という。

 「PKIは、BtoBでの利用も一部始まっているが、消費者の認証などでは、まだあまり導入されていない。ブラジルでは大手企業がオンライン税金申告時に活用する事例があり、同じ用途で個人もPKIを利用したいというニーズが出ている」(同氏)。

 しかしそのためには、「クライアント証明書のダウンロードや登録といったプロセスが複雑という現状の課題がある」(同氏)。同社としては個の改善に努める方針で、具体的には、「同プロセスはWebブラウザに制御されるものなので、例えば、ユーザーを不安にさせる不必要なポップアップを迂回(うかい)して登録できるような仕組みを検討していく」としている。

2010年に提供予定の新サービス

 このほか、2010年に開始する新サービス「証明書サービス」についても概要が説明された。

 新サービスは、SSL証明書を導入しているWebサイトにその証しとして張られる「VeriSign Secured」シールにまつわるものだ。このシールが張られているのは、基本的にトランザクション処理を行うWebサイト。インターネットを通じて重要なやりとりを行うため、SSL証明書が必要となり、導入の証しとしてこのシールが張られる。

 一方で新サービスは、トランザクション処理を行わないWebサイトを対象に、そのWebサイトが安全だという証しとして「VeriSign Certified」シールを提供するもの。

 ロシュ氏によれば「トランザクション処理のないWebサイトでも安全を示すシールを張りたい」という要望があったのだという。そこで「SSL証明書導入の証し」の代わりに、「VeriSignが安全性を評価して、それをパスした証し」としてVeriSign Certifiedシールを提供するのだという。

 安全性評価としては、まず「Webサイトでのサービスがどういったものなのか」、それに応じて「どういったことが重要なのか」を調査するほか、最低限、「企業のドメインが適切なものか」「Webサイト上にマルウェアが潜んでいないか」をチェックする。これが第一フェーズで、「将来的には、パートナーなどと連携して、ネットワーク・アプリケーションの脆弱性スキャンやWebサイトのプライバシーポリシーもチェックする予定」(同氏)。

 VeriSign Securedシールと同様に偽造防止の仕組みを採用。マルウェアのチェックは1日1回行う予定で、問題が検出されれば、「当社側で即座にシールを非表示にする仕組みも用意する」(同氏)とのことだ。


(川島 弘之)

2009/8/27 16:57