OTP(ワン・タイム・パスワード)市場の
概要と競合分析
はじめに ... 3 OTP 市場の状況 ... 3 市場の促進要因 ... 5 競合分析 ... 6 EMC のセキュリティ部門である RSA ... 7 RSA の主要な業績促進要因... 8 ブランド認知 ... 8 革新的な開発の継続 ... 8 サード・パーティ・ソリューションとの相互運用性と連携 ... 9 結論 ... 9
OTP(ワン・タイム・パスワード)市場の概要と競合分析 はじめに "セキュリティ侵害の年"と言われた 2011 年は、大きな注目を集めるセキュリティ侵害が相 次ぎ発生し、ネットワーク侵入を免れ得る組織は存在しないと言っても過言ではない年でし た。犯罪者は、ネットワークの脆弱性を発見する方法や、ソーシャル・エンジニアリングの戦 術を進化させ続けています。1 回のマウス・クリックで、犯罪者はネットワーク管理者相当の 権限を取得して通常の業務を妨害し、内部からも外部からも組織に深刻な損害を与えるこ とができます。デジタル・リソースの安全性を確保するためには、企業はセキュリティ・ベン ダと協力してリスク軽減のための戦略を立てる必要がありますが、Frost & Sullivan では、 OTP(ワンタイム・パスワード)認証がその戦略において重要な役割を果たすと考えていま す。 これまで、OTP トークンは主にハードウェア・トークンのみが利用されてきましたが、この手 法は、ソフトウェア・トークン、USB キー・トークン、あるいはインターネット以外のチャネルを 利用したアウトオブバンド認証といったオプションを柔軟に組み合わせる必要がある組織に はすでに当てはまらなくなっています。低コスト、開発の容易さ、さまざまなモバイル・デバイ スでの使いやすさを基盤にソフトウェア・トークンが急成長し、この市場は活気づいています。 OTP テクノロジーをモバイル・アプリケーションに組み込むモバイル・ソフトウェア開発キット (SDK:Software Development Kit)の出現で、ソフトウェア・トークンの導入はさらに加速し ています。 従来の職場環境の枠を超えて従業員の活動範囲が拡大する傾向が高まりつつあることか ら、強力な認証は不可欠になっています。 OTP テクノロジーは、ユーザー認証のために導 入すべき最低限の認証製品としてますます認識されるようになっています。また、リスク・ ベース認証などのソリューションを使用することで、組織はネットワーク・ユーザーの認証を きめ細かく管理し、未承認のユーザー・アクセスを大幅に減らすことができます。多様な OTP フォーム・ファクタとリスク・ベース認証を併用できるため、組織は、リスクの高いアクセ スに対して OTP トークンを発行することで、コストと時間を効率化できます。 OTP 市場の状況
BYOD(Bring Your Own Device、私物デバイスの持ち込み)の傾向の高まりと、リモート および多様な企業との作業シェアの増加に伴って、所定のネットワークに接続するエンドポ イントの数が増加し、組織でユーザーを適切に認証し、アクセス権限レベルを適宜設定でき ることが不可欠になっています。現在、OTP ベンダは、ハードウェア・トークン、USB キー (ハイブリッド・キーを含む)、ソフトウェア・トークン、スマート・カード、アウトオブバンド認証 など、さまざまな方式を提供し顧客をサポートしています。組織は、各種方式を組み合わせ て利用できるようになり、柔軟性を確保できるだけでなく、トークンを効率的に使用すること もできます。 3
図 1 に示すように、世界の OTP 市場は CAGR(Compound Annual Growth Rate、複合年 間成長率)で 7.5%の成長を遂げています。2011 年の市場価値は 7 億 7060 万ドルであり、 2016 年には 11 億ドルに達すると予測されています。
図 1: OTP 市場全体: 収益予測(世界)、2009~2016 年
出典: Frost & Sullivan 引き続き、ハードウェア・トークンと USB キー・トークンの売上が収益成長の原動力となりま す。これらの区分の合計は、2011 年の市場全体の収益の 80%を超えました。ハードウェ ア・トークンと USB キー・トークンは組織における事実上の標準の選択肢であり続け、人 気を維持しています。これは、その利便性とすぐに使用可能な点が企業側から好まれてい ることが主な要因です。 開発の容易さと低コストが、2011 年の世界における OTP の売上の 16%超を占めるソフト ウェア・トークン市場を活気づけています。モバイル・デバイスを置き忘れたような場合、通 常、ユーザーはそのことをすぐに報告します。その一方で、IT 管理者は、代わりのハード ウェア・トークンが届くのを待つのではなく、すぐに別のデバイス用の新しいトークンを発行 できます。RSA などのベンダは、独自のモバイル SDK を開発し、開発者が、Mac iOS や Android などの業界をリードするモバイル・プラットフォームで動作するアプリケーションに OTP テクノロジーを組み込むことで、ユーザーと組織両方のセキュリティへの取り組みを強 化できるようにしています。アプリケーションにアクセスすると、バックグラウンドで OTP が自 動的に生成され、ユーザーが慣れ親しんだ従来のログインの操作感を維持しながら、シー ムレスで安全なアクセスと強化された認証が実現されます。
OTP(ワン・タイム・パスワード)市場の概要と競合分析
市場の促進要因
Zeus や SpyEye Trojans などのマルウェアが、ネットワークに侵入するための高い権限や 未承認のアクセスを犯罪者に引き続き提供している中で、OTP はユーザー保護とネット ワーク検証の不可欠な要素であり続けています。多数の OTP ベンダが広範な OTP ソ リューションを提供している一方で、多くが、代替となる低コスト 2 要素認証ソリューションや 多層認証アプローチを提供する難題に直面しています。図 2 では、これらの課題に対応す る最も影響力のある市場の促進要因について説明しています。 図 2: OTP 市場全体: 市場の主要な促進要因(世界)、2012~2018 年
出典: Frost & Sullivan • コンプライアンス義務: 引き続き、OTP 導入の最大の促進要因は、PCI-DSS
(Payment Card Industry Data Security Standard、クレジット・カード業界のセキュリ ティ基準)などのコンプライアンス義務です。 管理者は組織に様々な OTP 方式を併 用することで、認証プラットフォームを通じてユーザーのアクセス権を管理できます。 • 変化する脅威の状況: 新型のマルウェアや犯罪者による高度なアクセス方法が現 れたことで、あらゆる種類の組織が決定的な警告を与えられました。業界は 2011 年 にセキュリティ侵害が引き起こし得る損害の大きさを目の当たりにしました。それは、 認証局 DigiNotar のシャットダウンなど、最終的には業務の停止にまで至る、機密 データや営業収益の壊滅的な損失を引き起こしたのです。 • 認証に対する高まる需要: OTP ソリューションは、高い権限を犯罪者に提供する のを防ぐための一定レベルの保護です。一部のベンダは、OTP を含むトランザク ション認証やリスク・ベース認証を提供してさらなる分析を行い、ユーザーを不正な アクティビティから保護して一歩先に進めています。 5
• BYOD およびクラウド・アプリケーション: より多くの組織が、従業員が個人のモバイ ル・デバイスを使用した日常業務の遂行を許可するようになるにつれ、この BYOD の傾向によって企業の IT スタッフは、多くの機会だけでなく課題にも直面するように なっています。ソフトウェア・トークンは認証用にモバイル・デバイスにインストールし やすいため、その需要が高まっています。もうトークン・アプリケーションを使用して 認証するためにモバイル・アプリケーションを終了する必要はありません。モバイル・ ソフトウェア SDKにより、OTPテクノロジーがモバイル・アプリケーションに統合され、 シームレスに使用できるようになっています。クラウド・アプリケーションのセキュリ ティは、多くの企業の顧客にとって最優先事項となっています。 クラウドを利用する 組織では、データのセキュリティを低下させることなく、ユーザーにオンデマンドでア プリケーションを提供できる必要があります。ネットワークの機密データへのリモー ト・アクセスが拡大するにつれ、任意のデバイスからいつどこからでもクラウド・アプリ ケーションに安全にアクセスできるようにするうえで OTP は好都合です。 OTP テクノロジーの利用は、ネットワーク上のリスクを軽減するための、データおよびユー ザー保護に対するニーズによって促進され続けます。 競合分析
今後成功を収める OTP ベンダは、多層認証アプローチを提供し、OTP の ROI(Return On Investment、投資収益率)を顧客に簡潔に明示することで、変化する状況に対応すると共 に、アウトオブバンド認証ソリューションに対抗すると考えられます。モバイル SDK やリス ク・ベース認証などの主要な差別化要因は、OTP 市場と顧客のマインド・シェアの獲得を 目指すベンダにとって必須の提供物です。 図 3 に、世界の 2011 年の OTP 市場における競争上の位置づけを示しています。RSA は、 市場のリーダーとしての位置をはっきりと維持し続けています。これは、主に、非常に相互 運用性の高い、広範な製品ラインと、強力な認証と革新的なソリューションを提供する継 続的な取り組みによるものです。 図 3: OTP 市場全体における競合企業の位置づけ分析(世界)、2011 年
OTP(ワン・タイム・パスワード)市場の概要と競合分析
RSA, The Security Division of EMC
OTP 市場における 30 年を超える経験により、RSA は、クラス最高の革新的なソリュー ションを生み出しているという評判を築いてきました。RSA SecurID 製品ラインは、その PIN と時間同期機能の組み合わせにより、常にハードウェア認証を先導してきました。 RSA SecurID 製品ポートフォリオでは、固有のエンド・ユーザー要件に基づいてフォーム・ ファクタの選択肢を顧客に提供しており、これには、ハードウェア、ソフトウェア、および SMS OTP テクノロジーが含まれています。 図 4 に示すように、RSA は、2011 年の OTP 製品市場において 44.4%の収益シェアを占 め、市場をリードしました。 図 4: OTP 市場全体における収益の割合(世界)、2011 年
出典: Frost & Sullivan RSA の広範なテクノロジー・ポートフォリオと経験が、APT に対する保護やモバイル導入 など、変化するユーザーの需要に合致する革新的なソリューションの開発を可能にしてい ます。RSA は、SecurID モバイル SDK とアダプティブ認証モバイル SDK を開発すること で、モバイル・アプリケーションにおける OTP テクノロジーとリスク・ベース・テクノロジーの シームレスな統合を実現しました。これらの SDK を使用して、組織では、セキュリティへの 取り組みを強化し、BYOD などの増大する課題に対処できます。 7
RSA は、2011 年に SMB 向けのリスク・ベ ースのオンデマンド認証システムである Authentication Manager Express をリリースしました。このシステムは、認証ソリュー ションを展開する際に多くの組織が直面する TCO(Total Cost of Ownership、総所有コス ト)の問題を打開し、SMB にコスト効率に優れた高品質ソリューションを提供します。 2011 年の侵害以来、RSA は顧客と緊密に協力して、将来の攻撃を防止するための サポートを提供してきました。予防的な顧客教育とアカウント・サポートの組み合わせによ り、侵害の影響は最小限に抑えられました。 RSA の主要な業績促進要因 ブランド認知 認証ビジネスにおける 30 年を超える経験により、RSA は、クラス最高の革新的ソリュー ションを開発しているという評判を築いてきており、SecurID 製品ラインは、多くの組織に とって非常に需要の高いソリューションであり続けています。広範囲にわたる信頼性の高 いソリューションは、顧客情報の整合性と機密性を保護し、Frost & Sullivan による世界の OTP 市場分析において RSA が過去 9 年間リーダーの位置を維持することを可能にしてき ました。 革新的な開発の継続 市場における RSA の成功の大部分は、現在の課題と今後予測される課題を克服する革 新的ソリューションを顧客に提供することに専心してきたためと言えます。 RSA は、 SecurID ハードウェア・トークンのテクノロジーを拡張し、ソフトウェア・トークンとオンデマン ド認証(トークンを利用しないワンタイム・パスワード認証方式)機能に取り入れました。安 全な 2 要素認証を実現するために多数のオプションが提供されることで、組織は、適切な ユーザーにさまざまな SecurID フォーム・ファクタを柔軟に発行できるようになります。 RSA による OTP における継続的な革新の最たる例が、RSA Authentication Manager Express と SDK のリリースです。
• Authentication Manager Express は、コストを理由に強力な認証の導入を差し控 えている SMB にとっての増大する課題に対処します。このコスト効率に優れた、リス ク・ベースのオンデマンド認証システムは、さまざまなサード・パーティ製品とシーム レスに統合可能です。さらに、これを使用して、SMB は、SSL VPN と Web ポータ ルを未承認のアクセスから保護し、ネットワーク上の異常な動作を分析できます。 • RSA のモバイル SDK を使用して、開発者は、RSA の SecurID OTP テクノロジーや
アダプティブ認証のリスク・ベース認証をモバイル・アプリケーションに統合して安全な 認証を実現できます。アプリケーションにアクセスすると、バックグラウンドで OTP が自
OTP(ワン・タイム・パスワード)市場の概要と競合分析
サード・パーティ・ソリューションとの相互運用性と連携
RSA は、認証パートナーを選択する際の重要な基準として、サード・パーティ・ソリュー ションと容易に統合できる必要性を理解しています。RSA の SecurID テクノロジーでは、 広範なサード・パーティ製品とさまざまな形ですぐに統合できます。
RSA Conference 2012 で、RSA は、Secured by RSA Certified Mobile Partner プログラ ム に つ い て 詳 し く 説 明 し 、 Citrix 、 Juniper Networks 、 VMware 、 Appcelerator 、 FeedHenry、Good Technology、Zscaler とパートナーシップを結びました。この連携によ り、モバイル・テクノロジーは RSA SecurID およびアダプティブ認証ソリューションによって 認証され、仮想デスクトップ、仮想アプリケーション、VPN、およびモバイル・デバイス上の アプリケーション開発プラットフォームへの安全なアクセスが提供されるようになります。 結論 組織のセキュリティ戦略のどの部分にどう OTP が合致するかという観点で、ベンダがユー ザー教育に重点的に取り組むに従い、OTP 市場は拡大してきています。絶え間なく変化 する脅威の状況に直面して、ベンダは、OTP をベースラインの標準として機能させるととも に、OTP を上回る複数要素認証が必要であることを理解しています。ベンダは、リスク・ ベースの分析製品などの認証スイートを開発し続けることで、世界的なサイバー攻撃に対 抗する必要があります。モバイル SDK によってモバイル・アプリケーションへの安全なアク セスが実現されると、クライアントは、そのユーザー向けにソフトウェア・アプリケーションの 認証方法をカスタマイズできるようになります。OTP 市場は成熟期にありますが、RSA な どのベンダは、既存のテクノロジーを基盤として、非常に高性能で革新的な、信頼性の高 い認証ソリューションを市場に提供し続けています。 9
