ZDNet Japan 掲載日時：2006/02/15 21:43   銀行関係者が2006年末に導入期限迫った2要素認証技術に注目：RSAカンファレンスレポート RSA Conference 2006で注目を集めているテーマのひとつに、「2要素認証（2Factor Authentication）技術」がある。同技術を提供するベンダーのブースを回った。 筆者など : 徳田浩司（Fusion Reactor LLC） チャネル名 : ZDNetニュース : セキュリティ URL : http://japan.zdnet.com/news/sec/story/0,2000056194,20096575,00.htm 　カリフォルニア州サンノゼにて開催中のRSA Conference 2006で注目を集めているテーマのひとつ に、「2要素認証（2Factor Authentication）技術」がある。2月14日、基調講演のトップバッターとして 登場したMicrosoftの会長Bill Gates氏も、オンライン社会の発展の前提として、厳格なユーザー認証 の必要性を説いており、2要素認証が不可欠だと力説している。 　その背景として、フィッシングなどオンラインバンキングの詐欺事件の増加に歯止めがかからない ことに業を煮やした米国金融当局（金融機関の監督指針を制定するFFIEC）が、2005年10月にオン ラインバンキングサービスを提供する銀行に対して新たなガイドラインを制定したことがある。現在 の単純なパスワードだけの認証では不十分だとして、2006年末までに米国の全てのオンラインバン キングサービスで、現在より強力な追加の認証技術（2要素認証）を導入しなければならないというも のだ。 　米国の銀行関係者にとって、どの2要素認証技術を導入すべきかは、目の前に差し迫った大きな 課題である。今回のカンファレンスで品定めをしようと、銀行関係者らしき参加者と関連ソリューショ ンを提供するベンダーの担当者間で、真剣な質疑応答がなされているのを何度も目にした。 　今回のカンファレンスでは、2要素認証を提供するベンダーが、1）バイオメトリックス、2）スマート カード、3）トークン、4）その他、という4つのカテゴリーで分けられ、のべ30社ほどが出展していた。 　中でも、ワンタイムパスワードという、1分ごとに使い捨てのパスワードを生成させる技術（スマート カードタイプとトークンタイプがある）と、デバイス認証というユーザーのパソコン特有の情報をIDとし て自動的に認証する技術が注目されている。今回は、RSA Security、Cyota（2005年12月にRSA Securityが買収を発表）、PassMark Security、TriCipherのブースを回った。 RSA Conference 2006会場の様子 　RSA Securityは、トークンタイプやスマートカードタイプでワンタイムパスワードを提供している。現 在同社のトークンやスマートカードは全世界で800万個以上配布されており、採用数ではトップだ。す でに日本の銀行でも2要素認証の導入がスタートしているが、2006年1月に三井住友銀行とジャパン ネット銀行がRSAのSecureIDを採用すると発表している。 　Cyotaは、パソコンを使った認証技術と、多層的なリスクマネジメントの技術を持つ有力企業だ。 ユーザーの過去のオンライン利用動向と照らし合わせ、例えばいつもと全く違った場所（国）から口 座の資金を全額送金するといった異常な行動をスコアリングシステムで察知すると、携帯電話で確 認を取るなどの対応をする。同社の技術は日本のクレジットカード会社でも採用実績があり、金融業 界に強い。手軽なデバイス認証の技術を持たないRSAは、米国金融市場で劣勢と思われていたの だが、Cyotaを買収したことで一気に挽回を図った。RSAは、ワンタイムパスワードとデバイス認証の 2つの技術を武器に、米国市場のみならず、日本市場に大攻勢をかけてくることが予想される。 　PassMark Securitｙは、「2Factor×2Way Authentication」と称するソリューションを提供する。Cyota と同様に、ユーザーのパソコンを使って自動認証するデバイス認証技術のみならず、ユーザーが選 択した絵をサイト上に表示させることで、パスワードを入力しようとしているサイトが真正な銀行の ホームページであるかどうかを認識させるソリューションを提供している。トークンタイプのようにハー ドウエアを配る必要はなく、銀行側が認証システムを導入すればすむため、導入コストが低い。ま た、自動的に画像を表示するという認証方法のため、ユーザーは入力の手間も省ける。同技術は、 Bank of Americaが2005年に採用し、ユーザー数700万人の実績を有している。 　TriCipherは、ワンタイムパスワードやデバイス認証など、さまざまなタイプのソリューションを提供 し、技術の幅が広い。もともと、日本企業の日本システムデベロップメント（NSD）がインキュベーショ ンして設立された経緯があり、今後日本へ導入されることが有力視されている。 　今回会場をヒアリングして回ったが、米国銀行が2要素認証技術を採用したという発表はまだ数が 少ないようだ。2005年10月にガイドランが出たばかりで、いずれの銀行も現時点では検討中もしくは 様子見というようである。しかし、2006年中旬あたりから、多くの銀行がいずれかの技術を導入する ことが見込まれる。 Copyright © 1995-2006 CNET Networks, Inc. All Rights Reserved.