プロフェッショナルが語る
ライフスタイル認証
生活習慣がアクセスキーになる新しい個人認証の仕組み"ライフスタイル認証"とは
金融機関は、サイバー攻撃者に狙われやすい業種の1つです。ITやインターネットの普及により攻撃の内容は高度化し、ひとたび被害に遭うと広範囲に深刻な影響が及びます。金融機関の中核を担うシステムをはじめ、企業内・企業間のネットワークやインターネット接続基盤等のインフラの構築・運用のほか、IP電話や通話録音等の音声分野、文書管理等のイメージ分野を中心とした業務系システムの構築・運用を手掛けている三菱電機インフォメーションシステムズ株式会社(MDIS)の金融事業本部は、セキュリティ分野を注力事業の1つとしています。企業全体のリスク評価、セキュリティ監査、対策の立案から、システム実装、運用・監視・アウトソーシングまで、安全の維持・管理に必要となるトータルサービスをワンストップで提供しています。
ユーザー目線で考える新しい個人認証の仕組み
小林氏は、2015年からライフスタイル認証技術の研究に加わり、現在は東京大学とMDISなどが共同で開設した次世代個人認証・行動解析技術社会連携講座において、実用化に向けた取り組みを行っています。ライフスタイル認証が考え出された背景について、小林氏は次のように説明します。
「これまでの新しい認証技術は、安全面ばかりが重視され、ユーザー目線での使いやすさをあまり考えてきませんでした。それが、管理の問題がありながら何十年もパスワードが主流であり続けている理由の一つです」
ライフスタイル認証は、記憶や特別な認証操作を必要としないため、ユーザーの負担は大きく軽減されます。
「必ずしも利便性だけを追求しているわけではありませんが、他の手法に比べて利便性に優れたものにしたいと考えています」(小林氏)
認証に使うための生活習慣には、まずその人らしさがあり、かつそれが繰り返されること、さらにその習慣を電子データとして収集できるなどの条件があります。現在はスマートフォンのGPSで捉えた位置情報とWi-Fi(無線LAN)の情報を主に使用しています。
「スマートフォンには様々なセンサーが搭載されており、現状では生活習慣データの収集に最も適しています」(小林氏)
また、スマートフォン上のどのようなアプリを使うか、どのような操作をしているかにも、個人に特有のパターンが現れるとのことです。こうした情報を複数組み合わせることで、より精度が高く、なりすましの難しい認証が可能になります。
大規模実証実験でライフスタイル認証の有効性を確認
2017年1月には、ライフスタイル認証の研究に必要なデータを集めるための大規模な実証実験を行いました。この実験では、一般から募集した参加者約5万7,000人もの情報が約3ヵ月にわたって集められました。
「今もデータの解析を進めていますが、現時点で分かっていることは、人というのは思った以上に決まった行動をしているということです。例えば仕事で出張をすることが多く、一見、パターンを見いだすことが難しそうな人でも、実際にデータをとってみると、予想以上に位置情報に"その人らしさ"が現れています」(小林氏)
もちろん、人の行動にはある程度の揺らぎやアクシデントもあります。しかし、例えば位置情報をアプリの利用状況と組み合わせることで、位置や時間に一時的な違いがあっても同じ人だと判断できるそうです。この実証実験によって、生活習慣を認証に使えることが確認されました。
「現段階でもリスクの低い用途では十分に使えるレベルになっていると思います」と小林氏は話します。
ライフスタイル認証は、認証操作が不要という利便性の高さを生かして、スマートフォンアプリのログインや、少額決済などの用途を想定しているそうです。
「ユーザーは認証することが目的ではなく、サービスを利用したいのですから、認証にかかる手間はできるだけ省かれるべきです」(小林氏)
盗難やなりすましをシステムが後から自動検出
ライフスタイル認証の特徴に、もし認証デバイスが盗まれるなどして、一時的になりすましを許しても、後からシステムが自動検出できることが挙げられます。
「ライフスタイル認証では、行動情報の入った端末を盗むなどすれば、一時的になりすましを行うことも可能です。しかし、他人の生活習慣をそっくり真似し続けるのは不可能です。しばらくするとシステムはユーザーの行動がいつもと違っていることに気づいてロックをかけることができます」(小林氏)
従来の認証方式では、パスワードや認証デバイスを盗まれてしまうと、システムの側では本人となりすましの区別がつきません。また、本人が流出や盗難に気づかなければ、そのままアカウントを乗っ取られてしまいます。ライフスタイル認証ならシステムの側でそれを防ぐことができるわけです。
やがて個人認証の方法はユーザーが選ぶことに
今後の研究の方向性としては、認証の精度を高めていくだけでなく、認証に使える情報の種類を増やすことを考えているそうです。それにより、例えば位置情報の提供が難しい人でも他の情報を使ってライフスタイル認証を利用できるようになります。
小林氏は、ライフスタイル認証はパスワードや生体認証といった従来の認証に取って代わるものではなく、ユーザーに新しい選択肢を提供するものだと語ります。
「今は、システム側の都合で認証手段が限定されていることが多く、パスワードや生体認証を使えない人は使える認証手段がなくなってしまいます。ユーザーが認証に使う情報を自由に選択できるというのが、将来の個人認証のあるべき姿だと考えています」。
※1 ※ライフスタイル認証は、東京大学の登録商標です。
ライフスタイル認証は、スマートフォンで得られる様々な習慣情報から本人かどうかを判定する。
認証操作がいらないという利便性の高さがある。
ライフスタイル認証の研究ロードマップ。将来的には、行動解析データを活用した快適なサービス提供も視野に入れている。
この記事について:
この記事は、情報誌「MELTOPIA」2019年3月号(No.244)に掲載されたものを転載しました。