ISAO(中村圭志代表取締役)は、認証サービスの提供に力を入れている。近年、IDやパスワードの漏えい事件が多発し、多要素認証が注目を集めている中で、独自の認証サービスを広めていきたい考えだ。

プロダクトオーナーを務める前澤俊樹氏(右)と開発担当の西田昂弘氏

 近年は独自のITサービス事業を推進しており、その一つが二要素認証サービスの「Mamoru PUSH」だ。ログイン時に端末に表示されるQRコードを手元のスマートフォンの専用アプリで読み取りアクティベーションする。その時にアプリを認証待ち受け状態にする。ログイン画面からIDを入力することで、Mamoru PUSHと連携したスマホにプッシュ通知が届き、通知をタップすることでログインができるようになるという仕組みだ。

 Mamoru PUSHは、ユーザー側でアプリを起動して待ち受け状態にしていないと認証が成功しない。前澤俊樹氏によると、「リスト攻撃はID・パスワードが漏えいしていると防ぐことはできないが、Mamoru PUSHはユーザー側がアプリを起動して待ち受け状態にしていないと認証が成功しないため、リスト攻撃を防ぐ」という。もし待ち受け状態のときに悪意を持つ第三者が不正にログインを試みた場合は、これまで認証したことのない未知の環境からの認証要求についてスマホに警告を出す。また、万が一ログインを許可してしまった際は、自身でログアウトを強制することができる。

 そのほか、「ワークフロー認証」として、ログイン時に上長や管理者の承認がなければログインできないようにすることが可能。外部サービスとのシングルサインオンにも対応する。また、SCIMプロトコルを用いて、Azure Active Directory(AD)と外部サービスが連携してアカウントの同期をとれるようにしており、「削除漏れもないし、追加漏れもない」などIT管理の効率化を図っていると西田昂弘氏は説明する。

 ISAOではMamoru PUSHによってID・パスワードによる認証の置き換えや強化を想定。「所有認証のいちプレーヤーとして、スマートフォンで使える認証として盛り上げていきたい」と前澤氏は話す。(前田幸慧)