PRODUCT NAME HEAD

Transcription

1 RSA ADAPTIVE AUTHENTICATION 包括的認証および不正検出プラットフォーム 概要 100 個を超えるインジケータをリアルタイムで評価して ログインとログイン後のアクティビティのリスクを測定 リスクとポリシーに基づいて認証要件を決定 幅広い認証オプションをサポート Webベース アプリケーション モバイル アプリケーション ATMのクロス チャネル保護を提供 社内インストールおよびホストされたサービス オプションが使用可能 利便性に関するエンド ユーザーの要求を満たすために 組織は製品とサービスの提供やアカウント アクセスを オンラインやモバイル チャネルに拡張し続けています 同時にハッカーも急増し進化を続けており 企業データやアカウントに不正アクセスするための高度な戦術としてフィッシング MITM( 中間者攻撃 ) MITB( マン インザ ブラウザ ) を利用します ユーザーの操作性を損なわず バランスの取れたセキュリティを実現することが組織の課題です RSA Adaptive Authenticationは Webサイトとオンライン ポータル モバイル アプリケーションとブラウザ ATM( 現金自動預け払い機 ) SSL VPNアプリケーション WAM(Webアクセス管理 ) アプリケーション アプリケーション デリバリ ソリューションを利用するユーザーの保護を必要とする組織にリスク ベースの多要素認証を提供し これらの課題を解決します Adaptive Authentication の概要 Adaptive Authenticationは 包括的な認証 / 不正行為検出プラットフォームです RSAのリスク ベース認証テクノロジーを搭載しており さまざまなリスク インジケータを用いてユーザーのログインおよびログイン後のアクティビティのリスクを測定します システムは リスク ベースとルール ベースのアプローチを使用して リスクが高くポリシーに違反すると判定した場合は 追加の認証を要求します この方法論により 大多数のユーザーに透過的な認証が提供されます テクノロジーとコンポーネント Adaptive Authenticationは 一連のテクノロジーおよびコンポーネントを利用して RSA Risk Engine RSAポリシー管理 デバイスおよび行動プロファイリング RSA efraudnetwork 追加 認証 RSAケース管理などのクロス チャネル保護を提供します 図 1:RSA Adaptive Authentication のテクノロジーとコンポーネント

2 RSA Risk Engine RSA Risk Engineは 100 個を超えるインジケータを利用してアクティビティのリスクをリアルタイムで評価する自己学習型統計マシン学習テクノロジーです Risk Engineは 1,000を最大リスク レベルとする0から1,000までの範囲で各アクティビティに対してユニークにスコアを生成します スコアは デバイス プロファイリング 行動プロファイリング efraudnetworkデータを反映します Risk Engineは 豊富なデータ入力 マシン学習方式 認証フィードバックを組み合わせて インテリジェントなリアルタイムのリスク評価を提供し 不正行為を緩和します 他社ソリューションと異なり RSAはリスク ベースとルール ベースの両方のアプローチです 組織は ポリシー管理アプリケーションを利用してポリシー ルールを設定でき ポリシー管理アプリケーションを Risk Engineの上に階層化するハイブリッドなアプローチが可能です RSA Policy Manager RSAポリシー管理アプリケーションは 包括的なルール フレームワークを使用して リスク ポリシーを意思決定とアクションに変換します たとえば ポリシー管理アプリケーションを使用して 後にケース管理アプリケーションでレビューする必要のあるリスク スコアを設定したり 追加の保証または 追加 認証のプロンプトを表示したり 不正行為の可能性が非常に高いトランザクションを拒否できます また ポリシー管理アプリケーションでは 特定のIPアドレスからの認証のブロックなど リスク評価から独立したルールを作成できます デバイス プロファイリング デバイス プロファイリングでは ユーザーが組織のWebサイトやモバイル アプリケーションで使用するデバイスを分析します Adaptive Authenticationは 特定のアクティビティに使用されるデバイスが ユーザーが日頃使用しているデバイスかどうか またはデバイスが以前の不正なアクティビティに接続されているかを判断します 分析されるパラメータには オペレーティング システムのバージョン ブラウザのタイプとバージョン Cookieやフラッシュ オブジェクトなどの特性が含まれます 行動プロファイリング 行動プロファイリングは ユーザーの典型的なアクティビティの記録です Adaptive Authenticationは アクティビティのプロファイルをユーザーの通常の行動と比較してリスクを評価します ユーザー プロファイルを使用して さまざまなアクティビティがそのユーザーにとって一般的であるかどうか または行動が既知の不正パターンを示しているかどうかが判断されます 検証されるパラメータには 試行したアクティビティの頻度 時刻 タイプが含まれます RSA efraudnetwork RSA efraudnetwork は お客様 社内研究ラボ ISP サード パーティで構成されるRSAの世界的ネットワークから収集した不正パターンの部門間リポジトリです IPアドレス デバイスID 支払先 ( ミュール ) 口座などの不正要素が識別されると それらが efraudnetworkと共有されます efraudnetworkは Risk Engineへの直接フィードを提供するため リポジトリにあるデバイスまたはIPからアクティビティが試行されると 高リスクとみなされます ケース管理 ポリシー エンジン ルールをトリガーしてアクティビティの追跡を可能にし フラグ設定されたアクティビティが本物か不正行為かを判断する非常に効果的な不正行為管理ツールです

3 組織はこの情報を使用して 適切な測定をタイムリーに取得し 不正アクティビティによる損失を最小限に抑えます ケース管理アプリケーションは 新しいポリシー決定ルールの改訂または開発時に重要なケースの調査および不正パターンの分析にも使用されます さらに このツールを使用して 組織はケースの解決時にリスクエンジンにフィードバックを提供することもできます ケース管理 APIは 組織が外部ケース管理システムと情報を共有できるようにするAdaptive Authenticationケース管理機能のインタフェースです ケースを1つのシステムに統合すると 不正アクティビティを より効率的に確認 解決できます 追加認証 追加認証は 通常は高リスク トランザクションまたはポリシー ルールに従って求められる ユーザーのIDを検証する追加のファクタまたはプロシージャです Adaptive Authenticationでは下記の追加認証方式をサポートしています 秘密の質問 : 登録時にエンド ユーザーが選択した質問とその回答 別チャネルの認証 : 電話 SMSテキスト メッセージ 電子メールを介してエンド ユーザーに送信されるワンタイム パスコード トランザクション詳細を通信に含めて 不正アクティビティを防ぐことができます 動的 KBA( ナレッジ ベース認証 ): エンド ユーザーに固有で 公開データまたは市販データからリアルタイムで生成される動的な質問 RSA Multi Credential Frameworkを介したサード パーティ認証方式 クロス チャネル保護 : WEB モバイル ATM Adaptive Authentication は SDK でモバイル デバイスに 直接 組み込むことができます モバイル保護 モバイル デバイスが急増すると セールス チャンスだけでなくリスクももたらされます ただし Adaptive Authenticationと直接統合するモバイル アプリケーションは エンド ユーザーへのインパクトを最小限に抑えて不正アクセスから保護します Adaptive Authenticationは 位置認識やモバイル デバイスIDなどの機能を含む専用モバイル リスク モデルを提供します 位置認識では アルゴリズムに基づく一連の時刻と地理を使用してデバイスの位置が検出され GPSを通じて収集された位置データにアクセスできます デバイスIDは デバイス モデル 言語 スクリーン サイズなどの特性を取得します ユーザーにとって新しい位置やデバイスなどの例外は 高リスクとみなされます Adaptive Authenticationは Webサービス コール またはモバイル アプリケーションに制御を直接構築できるSDK(Software Development Kit) で統合でき Apple ios Android OS Blackberry OSをサポートしています 企業 銀行 eコマース データ アクセス向けモバイル アプリケーションの開発者は 強力なリスク ベース認証をモバイル サービスに統合することで セキュリティと信頼性を高めることができます 高度な脅威からの保護 組織は絶えず新しい形の脅威と戦っています Adaptive Authenticationは プロキシの使用 自動化スクリプト HTMLインジェクションを検出することで エンド ユーザー アカウントの窃取を目的とした最新のトロイの木馬による攻撃で採用されているMITB( マン インザ ブラウザ ) およびMITM( 中間者攻撃 ) に対処するように設計されています Adaptive Authenticationでは 例外にフラグが設定されるため 組織はブロックまたは監視する措置を講じたり 追加の認証手段を要求してアクティビティを完了できます

4 Adaptive Authenticationは ユーザーあたりおよび母集団あたりのアクティビティをレビューして Webサイト全体の動作を理解します プロキシ攻撃の検出 : サイバー犯罪では プロキシ攻撃を使用してプロキシIPアドレスからアカウントにログオンし アクティビティが本物のIPアドレスから実行されたように見せかけることで決定的なデバイスIDを得ます RSA Adaptive Authenticationは ログインまたはログイン後のアクティビティがプロキシ経由でいつ実行されたか またこれが典型的な行動に相反するかどうかを判断して リスク スコアを適宜調整します 自動化スクリプトの検出 : MITB 攻撃で使用されるような一部のトロイの木馬は 手動の介入なしでアカウント アクティビティを自動的に実施します Adaptive Authenticationは 自動化スクリプト攻撃を使用して支払先の不正な追加 ミュール アカウントへの送金 アドレスの変更などを行うトロイの木馬に対抗します RSA Adaptive Authenticationソフトウェアは 人間対マシンの革新的な保護を利用して マウスまたはキーストロークの動きがデータ入力に関連するかどうかを判断します また RSA Adaptive Authenticationソリューションは ブラウザのオート コンプリート機能をオンにしているユーザーを区別し リスク スコアを適宜調整できます HTMLインジェクションの検出 : HTMLインジェクションは 通常はユーザーのブラウザ画面に追加されたフィールドを通じてユーザー資格情報を収集し 残高ページを処理するために使用されます Adaptive Authenticationは 支払いの処理や 社会保障番号 クレジット カード番号 PINなどの追加のユーザー資格情報の取得を試行する エンド ユーザーのブラウザ画面に対する不正な変更を検出してフラグ設定します 柔軟な導入と構成 RSAは まったく同じ認証ニーズを共有する2つの組織がないことを認識し その結果 Adaptive Authenticationはさまざまな開発 構成 言語オプションを提供して 組織の多様なニーズを満たします たとえば現在 企業は2 通りの方法でAdaptive Authenticationを導入しています 1つは 既存のITインフラストラクチャを使用するオンプレミス インストール もう1つは ホスティング型 SaaS( サービスとしてのソフトウェア ) です さらに ユーザーの操作性を損なうことなくセキュリティとリスクのバランスを取る多くの方法で構成できます 多くの組織は現在 ユーザー ベース全体にリスク ベースの認証を提供し ポリシー管理アプリケーションを使用して リスクに基づいて実行するアクションを決定します 最後に ユーザー インタフェースと入力および出力フィールドは 8 言語以上をサポートできるようにローカライズおよび国際化されています この柔軟性により Adaptive Authenticationを使用して Webポータル SSL VPN ATMなどのさまざまなリモート アクセス ポイントを保護します 実証済みソリューション Adaptive Authenticationは セキュリティ 操作性 コストのバランスが取れた包括的なリスク ベース認証 / 不正行為検出プラットフォームです さらに オンライン ポータルやモバイル デバイスを使用したトランザクションへのユーザーの信頼と利用意欲を高めます Adaptive Authenticationは豊富な採用実績のあるソリューションで 現在 8,000を超える世界中の組織と 金融サービス 医療 政府などの複数の業界に導入されています 2 億人を超えるオンライン ユーザーの保護に使用されており 200 億を超えるトランザクションを処理および保護してきました

5 EMC ジャパン株式会社 RSA 事業本部 TEL EMC2 EMC EMC のロゴ RSA は EMC Corporation の登録商標または商標です Copyright 2013 EMC Corporation. All rights reserved. EMC Corporation は この資料に記載される情報が 発行日時点で正確であるとみなしています ここに記載された情報は 予告なく変更されることがあります RAA H11430 DS 1301-J