携帯を鍵にする本人認証システム「Secure Call Server」

[吉岡綾乃，ITmedia]

　サードネットワークスは1月27日、携帯電話のコールバックを利用する本人認証装置「Secure Call Server」を発表した。2004年11月より提供している認証ASPサービス「Secure Call」を、ソフト導入済みのサーバとして販売するもの。ユーザー数が500人以上と多い場合や、認証システムを外部ASPに委託できないなどのニーズに応える。

　社外から企業イントラネットにリモートアクセスする場合、現在広く用いられているのがSSL-VPNでのアクセス。このとき必要なのが、ログインしたエンドユーザーが確実に本人であることを認証する“本人認証”だ。IDやパスワードを入力する方式が一般的だが、よりセキュリティレベルを上げるために、認証用のハードウェア（トークン）や、ワンタイムパスワードなどを用いることも多い。

　「これまでの（トークンなどを使った）本人認証はコストが高いこともあり、システム管理部門がない中小企業などでは導入が難しかった。また、認証用にトークンを配るのは、紛失・盗難などのおそれがあるほか、システム管理者の負担が重くなる」（サードネットワークス社長の雨宮正明氏）。Secure Call／Secure Call Serverは、誰でも持っている携帯電話を認証の鍵に使うため、安全で入力の手間もかからず、運用も容易だとする。

　認証手順は簡単だ。自宅や出先などからPCで、社内のイントラネットにアクセスする。ユーザーIDとパスワードを入力すると、あらかじめ登録してある携帯電話に、Secure Call Serverから電話がかかってくる。音声案内に従って暗証番号（10桁以内）と＃を入力し、番号が合っていればログインできる。

　IDとパスワードはインターネット、暗証番号は電話網と、情報が2系統に分かれて流れるので安全性が高い。また、携帯は個人と強く結びついているので、本人認証には適しているとする。さらに、音声案内に従って数字を入力するだけと操作が簡単なので「携帯で通話できる人なら、誰でも使える」（サードネットワークス）。

　F5 NetworksのFirePass、ジュピターネットワークスのNetScreen SA、ノキアのNokia Secure Access Systemなど、多種類のSSL-VPNに接続できる。携帯電話は通話ができるものならキャリアを問わないほか、直通番号で本人と確定できる番号であれば、固定電話でも利用可能。IP電話にも対応していく考えだ。

　サーバのOSにはLinuxを採用。その上にRadius認証機能や、CTI（Computer Telephony Integration、電話とコンピュータを融合する仕組み）などが載っており、エンドユーザーへのコールバックにはISDN回線を利用している。初期導入費用は、このベースユニットが340万円〜と、ユーザーライセンスの登録費用が1000ユーザーで250万円となっている。電話の通信料が実質の月額利用料となる。