連載
» 2016年11月22日 10時00分 公開

5分で分かる最新キーワード解説:何もしないで本人認証できる「ライフスタイル認証」とは? (1/3)

生活シーンから得られる情報を総合的に判断して認証する「ライフスタイル認証」。手間なしで高セキュリティ、両立は可能なのか。

[土肥正弘,ドキュメント工房]

 ユーザーIDとパスワードによる本人認証の仕組みだけでは、成りすましを防げないのはもうほとんど常識だ。しかし、特別なICカードやワンタイムパスワードトークンなどを持ち歩いたり、指紋や静脈、虹彩などをスキャンしたりする手間と時間、システムを導入する企業のコストも問題だ。

 顔認証技術も利用範囲が限られる中、「ライフスタイル認証」という新しいアイデアが注目される。生活のさまざまなシーンからの情報を総合的に利用して確実な認証に結び付けることで、何の手間もなしに安全なサービス利用ができる技術だ。

「ライフスタイル認証」とは

 ライフスタイル認証は、本人のさまざまな行動から得られるデータを多角的に収集し、総合的な行動の特徴から本人か否かを見分ける新しい認証技術だ。ただし、まだ基礎研究の域を出ず、行動の特徴を示すビッグデータを解析することで、どこまで本人を特定できるかを実証するためのデータを収集するための準備段階にある。

 東京大学大学院のソーシャルICT研究センター特任准教授の山口利恵氏が、民間企業各社の協力を得て研究を推進し、2017年1月から3月にかけて基礎的なデータ収集を目的とする5万人の被験者による大規模な実験が計画される。

 「自分が自分であることを他人に認めさせる」のが本人認証だ。逆の立場からいえば「相手が本当にその人であるか、成りすましでないかを見分ける」ことだ。

 さまざまな方法があるが、今までの方法にはそれぞれ弱点がある。対面している相手であれば、写真入りの公的機関が発行した証明書(マイナンバーカードや運転免許証など)があれば十分だが、例えばパスポートの偽造や不正取得が世界的に横行することを考えると、完璧かどうかには疑問の余地がある。実際に対面するわけではないオンライン認証の場合はもっとリスキーだ。少し詳しく見てみよう。

オンライン認証の3要素

 現在、オンライン認証は次の3つの要素を、単独または複数を組み合わせて実現する。

記憶

 パスワード、パスフレーズ、PIN(Personal Identification Number)のように、本人だけが記憶している情報

所持

 ワンタイムパスワードトークン、ICカードのように、本人だけが所持しているモノ

バイオメトリクス情報

 指紋、指や手の静脈、虹彩、顔などのように本人の生体から得られる情報

 いまだに主流のパスワードによる認証は、記憶だけに頼る方式だ。しかし、記憶した情報はソーシャルエンジニアリングやスパイウェアなどの攻撃手法により外部に流出する可能性があり、また、利用するサービスの提供者のシステムから漏えいすることもある。

 近年のパスワードリスト攻撃では、どこから流出したか分からないIDとパスワードのセットが悪用されるので、この方法だけでは成りすましリスクが防げない。また、パスワードによる認証システムの運用には、パスワードの桁数や文字種に関するポリシーの徹底、パスワードデータの安全な管理、休眠アカウントの廃止、有効期限設定、パスワード履歴の管理など多くの手間がかかる。

 そこで、オンラインバンキングを始めとする金銭がらみのサービスには、所持物による認証をID/パスワードに加えて用いることが一般化した。ワンタイムパスワードトークンがよく利用され、税金の申告などではICカードによる認証も使われる。

 しかし、それらを使う人が本当に本人かどうかを確認することができない。スマートフォンに認証コードを送信する手法もあるが、スマートフォンを不正利用されるリスクは常にある。

 もっと確実に本人と確認するにはバイオメトリクス情報を組み合わせる必要があるが、ユーザー側に生体情報をスキャンする装置が必要になるという障壁の他、通信経路上で生体情報が漏えいすると取り返しがつかなくなる懸念がある。

 漏えいの懸念を払拭(ふっしょく)するために、FIDOと呼ばれる方法が注目され、普及が期待されるが、サービス側に利用端末を登録するため、登録の正当性を保証する別の仕組みも必要になろう。

おかしなアクセスには認証を追加するリスクベース認証

 また、利便性と安全性を両立するためにリスクベース認証と呼ばれる方法が用いられることがある。普段のサービス利用とは異なるIPアドレス、ISP、OS、ブラウザなどからのアクセスがあった場合に、認証情報そのものに問題がなかったとしても、別の認証方法で再度認証を行って成りすましリスクを低減する方法だ。

 例えば、「秘密の質問」に答えさせたり、登録スマートフォンなどに認証コードを送信してその入力を求めたりする。ただし、通常の利用環境か否かの判断は微妙な場合がある他、海外旅行中のアクセスなどの場合にも追加認証を求められることが多い。その際に、追加認証のための情報を忘れたり、利用するデバイスを持っていなかったりするとサービスが利用できないことがある。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。