メモ

EMCジャパン RSA事業本部は、認証製品の最新版「RSA Authentication Manager 8」で、「リスクベース認証」機能の提供を発表した。モバイルデバイスやBYOD（私物端末の業務利用）といったユーザー環境の変化への対応、また、標的型サイバー攻撃への対策がその狙いだという。
リスクベース認証は、固定パスワードや別の認証手段を組み合わせる「多要素認証」の一つで、ログインを要求するユーザーの環境からその真正性を確認する。米EMC RSA事業部門でシニアプロダクトマーケティングマネジャーを務めるジェフ・カーペンター氏によると、同製品のリスクベース認証では主に（1）ユーザーのデバイス、（2）ユーザーの行動、（3）ネットワーク情報、（4）トークン情報――といった観点から「リスクスコア」を算出する。リスクスコアがしきい値を超えた場合に追加認証を行うことで、正規ユーザーであるかをチェックしていく。
これまでリスクベース認証は、オンライバンキングやeコマースサイト、ソーシャルネットーワークといったコンシューマー向けのオンラインサービスを中心に利用されてきた。例えば、FacebookやGoogleでは普段とは異なる場所からログインすると、すぐに登録済みのメールアドレスへログインが正しいユーザーによるものであるかを確認するメールが送信される。

標的型サイバー攻撃を教訓にした認証機能の可能性 - ITmedia エンタープライズ