ベリサイン、OTP認証とリスクベース認証を併用できる新サービス

Symantec Validation＆ID Protectionの概要

リスクベース認証の流れ

　日本ベリサイン株式会社（ベリサイン）は16日、「ベリサイン アイデンティティプロテクション（VIP）」のサービスを再編し、新たに「Symantec Validation＆ID Protection」を発表した。

　Symantec Validation＆ID Protectionでは、VIPで提供している「ワンタイムパスワード（OTP）認証」による二要素認証に加えて、オンライン詐欺検出サービス「VIP FDS」で提供される「リスクベース認証」も利用できる。

　リスクベース認証とは、「デバイスID（登録されたデバイスか？）」「デバイス指紋（同一のデバイスか？）」「デバイス信頼性（信頼できるデバイスか？）」「行動（通常の行動か？）」という4つの基準でリスクを判定し、算出されたリスクスコアが低い場合は通常通りのID/パスワード認証でアクセスを許可し、高い場合は追加認証を要求する仕組み。

　同社によれば、従来のリスクベース認証では、認証サーバーの構築やポリシー設定・チューニングに時間と費用がかかっていた。今回は不正アクセスによる「異常な振る舞い」を検知する仕組みを汎用化し、デバイスや行動プロファイルに基づいたリスク分析をバッググラウンドで実施するため、利用者の負担を抑えられる。

　また、シマンテック技術を融合し、グローバルな不正情報データベース「Global Intelligence Network（GIN）」を活用することで、「デバイス信頼性」を判定する際、不正IPなど未知の脅威にも迅速に対応できるという。

　利用にあたっては「OTP認証」と「リスクベース認証」のいずれか、あるいは両方を組み合わせることが可能。OTP認証ではハードトークンからソフトトークンまで用意しており、ソフトトークン「VIP Access」は無償提供される。

　サービスはクラウド型となるため、認証方式ごとにサーバーを用意する必要がなく、導入コストや運用・管理コストを抑制し、導入期間を短縮できる。導入後の設備増強なども不要で、必要なときに必要なサービスを利用できるという。

　対象は、SSL-VPNで社内へリモートアクセスする企業、あるいはB2B/B2C向けのWebアプリケーション。後者の場合は、WebサービスAPIを提供する。

　価格は初期費用が50万円（税別）、利用料はOTP認証、リスクベース認証のいずれか、あるいは両方でも同額で、100ユーザーの場合で年額32万4000円（同）。この金額は従来OTP認証にかかっていた費用で、Symantec Validation＆ID Protectionならリスクベース認証が無償で利用できるイメージとなる。

　なお、Symantec Validation＆ID Protectionのリスクベース認証は汎用化されているため、高度なカスタマイズはできない。金融など要求の厳しい環境には、従来通り、オンライン詐欺検出サービス「VIP FDS」を提供する方針。