社会のICT 化が進み、サービスの多くが電子化されていく中、個人認証の重要性がますます高まっています。これまでにも様々な個人認証の仕組みがありましたが、多くは基本的に古くからある認証方法の延長に過ぎませんでした。しかし、最近では、個人の生活習慣を認証に使うライフスタイル認証のような、全く新しい個人認証技術も登場しています。今回は個人認証技術の現状と将来について解説します。
ICTの進展により重要性が高まる個人認証とその技術
「個人認証」とは、システムを利用しようとしている人が、登録されている本人であるかどうかを識別するプロセスです。個人認証がしっかりと行われることで、システムは個人や組織のプライベートな情報を安全に扱うことができます。
ある人が誰かを確認する行為は、太古の昔から行われてきました。近年では社会のICT 化が進んだことで、デバイスの利用時やシステムへのログインなど、個人認証を使う機会が急増しています。私たちが朝起きてスマートフォンを開くと、さっそくパスコードや指紋などで個人認証が行われます。その後も、会社の出退勤、システムへのログイン、クレジットカードでの支払い、玄関のオートロックの解除など、私たちは、一日中様々な形で個人認証を行っています。
個人認証の機会が増えるにつれて、パスワードの管理など、ユーザー側の負担が大きくなってきたほか、なりすましやハッキングといった不法行為の脅威も大きくなってきました。今後、社会のICT 化がますます進むことは間違いありません。安全で使い勝手の良い個人認証技術へのニーズが高まっています。
従来型の個人認証は「知識」「所持」「身体的特徴」の3つ
現在使われている個人認証の方式は、大きく「知識」「所持」「身体的特徴」の3つに分類することができます。(図1)
「知識」は、特定の言葉や情報を知っているかどうかで個人を認証します。古くは合い言葉、現在であればパスワードがその代表です。ログイン時に人間が操作しているかを確認する絵合わせや変形文字の解読も知識認証の一種といえるでしょう。
「所有」は、印鑑や身分証のように何か特別な物を持っているかどうかで個人を認証します。デジタルな認証では、ワンタイムパスワードを発行するトークンやメールアドレスに確認メールを送る、認証用のスマートフォンアプリを使うなども所有に当たります。
「身体的特徴」は、指紋、顔、手の静脈など、人によって異なる体の部位をセンサーで読み取ることで本人かどうかを確認します。指紋や顔認証はスマートフォンで採用されたため、ここ数年で普及が進みました。
システムへの実装時には、セキュリティーをより高めるために、複数の認証方式を組み合わせることが多くなっています。例えば、銀行のATM は、キャッシュカード(所有)とパスワード(知識)の二要素の組み合わせです。最近のネットサービスでは、ID+パスワードの入力後に、ユーザーの携帯電話にワンタイムパスワードを送る二要素認証(二段階認証)がよく使われます。
パスワードの安全性は利用者のリテラシーに依存する
個人認証の機会が増えた今、利用者を悩ませているのがパスワードの管理です。パスワードは低コストで実装技術が確立しており、しっかりと運用すれば安全な認証が可能です。ところが、パスワードには利用者のリテラシーによって安全性が大きく左右される欠点があります。安全性を確保するためには、十分な長さと複雑性を持ったパスワードをサービスごとに使い分ける必要があります。しかし、ユーザーが実際にそれを実行するのは大きな負担になります。このため、多くの人が短く単純なパスワードを使ったり、パスワードを使い回している場合がよくあります。
自らの体の一部を鍵にする生体認証は記憶を必要とせず入力も簡単で、パスワードに比べて使い勝手が向上します。ただ、生体認証には顔や指紋といった認証要素が常に外から見えているという弱点があり、生体認証を破ろうとする攻撃者側の研究も進んでいます。パスワードなら流出しても容易に変更できますが、生体の場合は、そもそも変更が難しいという問題があります。また、体質的にセンサーで指紋が読み取れないなど、様々な理由から生体認証を利用できない人も一定数存在します。
第4の認証方式として注目される「ライフスタイル認証」
個人認証が日常的に行われるようになった現代では、従来の3つの認証要素だけでは安全性や利便性を確保しにくくなっています。そこで近年、新しい認証方式の研究が進められています。第4の認証要素として注目されているのがユーザーの行動情報です。端末の利用環境や買い物履歴、位置情報といったユーザーの行動をシステムで分析し、いつもと同じ行動をしていれば認証し、いつもと異なっていれば拒否します。ユーザーの行動を細かく把握できるモバイル&ネットワーク時代ならではの認証といえるでしょう。
行動による認証の具体例としては、東京大学などで研究を進めている「ライフスタイル認証」があります。
ライフスタイル認証はユーザーの"生活習慣"から個人を認証します。人間は、毎日行動する場所や時間などにある程度パターンがあり、それが一人ひとり異なります。ライフスタイル認証では、あらかじめ個人の行動パターンをシステムに記録しておき、アクセスしてきたユーザーの行動と比較することで認証を行います。2017 年に行われた実証実験では、ライフスタイルが個人認証に使えることが確認され、現在は実用化に向けてさらなる研究開発が進められています。
また、ライフスタイル認証には、特別な認証操作が不要で、万が一なりすましが行われても短時間でシステムから見破ることが可能など、従来の個人認証にはない特徴があります。
セキュリティーの仕組みは、一般的に安全性を高めるほど利便性が低下する傾向にあります。個人認証も厳しすぎるとユーザーのモラル低下を引き起こしたり、ビジネスの発展を阻害します。セキュリティー関連の仕組みでは常に安全性と利便性のバランスを取ることが重要になります。安全だが誰も使わないシステムでは意味がありません。リスクに見合った安全性と利便性を実現するためにも、ライフスタイル認証のような新しい個人認証方式が求められています。
図1:認証方法の3要素
現在主流となっている個人認証の3要素。それぞれにメリットとデメリットがある。
図2:第4の認証要素「行動」
第4の認証要素として「行動」に注目が集まっている。
三菱電機インフォメーションシステムズ株式会社
金融事業本部 金融第一事業部
システム第一部 第五課 エキスパート 小林 良輔 氏
2007年、東京大学工学部計数工学科卒業。三菱電機インフォメーションシステムズ株式会社(MDIS)に入社後、損害保険会社の業務システム開発に従事。2015年より約3年間東京大学に出向し、次世代個人認証技術講座に参画。国際学会でのBest PaperAward受賞や、セミナー講演など、ライフスタイル認証技術の研究および社会普及に貢献。2018年より、東京大学と他4社共同で開設された次世代個人認証・行動解析技術社会連携講座に参画し、ライフスタイル認証技術の実用化に向け取り組んでいる。
三菱電機インフォメーションシステムズ株式会社(MDIS)