今や個人用途でもビジネスでも、複数のWebサービスを利用することは当たり前になりました。Webサービスの利用時に一番重要なのが、利用者の本人確認(認証)であり、安全かつユーザビリティを損なわない認証を如何に実現するかが課題となっています。
一般的に使用されるIDとパスワードの組み合わせの場合、類推しやすいパスワードを使用したり、管理が面倒といった理由で複数のサービスで同じパスワードを使い回すことが多く、セキュリティーリスクとなっています。そのためパスワードに変わる認証手段が求められています。
三菱電機インフォメーションシステムズ株式会社(MDIS)では、次世代の生体認証の標準といわれるFIDO※1に加え、新たな技術である電話発信認証やライフスタイル認証など、複数の認証技術をクラウドで提供する統合認証サービス「MistyAuth(ミスティ・オース)」※2を開発しました。これによりセキュリティーとユーザビリティの両立を実現します。
-
※1FIDO;業界団体FIDO Allianceによる規格名
-
※2MistyAuth は三菱電機インフォメーションシステムズ株式会社の商標です。
三菱電機インフォメーションシステムズ株式会社 金融第一事業部 第一サービス事業推進室
サーティファイドプロフェッショナル 大江 哲浩 氏
認証サービスを初期投資の負担が軽く運用も容易なクラウドで提供
スマートフォンやクラウドサービスの普及によりWebサービスが増加し、ある調査によると個人が利用しているWebサービスの数は、メール、SNS、ECサイトなど数十にのぼると報告されています。
新型コロナウイルス感染症の影響でステイホームが増えたことやキャッシュレス決済の普及により、Webサービスの利用機会やインターネット上で機微な情報を扱う機会も増え、セキュリティーに関するトラブルも増加しています。トレンドマイクロ社がまとめた「パスワードの利用実態調査 2020」※によると、約5人に1人が不正アクセスや情報流出の被害経験があると回答しており、個人情報の流出、SNSアカウントの不正操作などが上位を占めています。また、8割以上がパスワードを使いまわしていると回答しており、その理由として「異なるパスワードを設定すると忘れてしまう」「異なるパスワードを考えるのが面倒」と答えています。
こうした背景もあり、近年は生体認証などパスワードを使わない認証方式や、複数の認証方式を組み合わせて使う多要素認証に注目が集まっています。記憶に新しいところでは、2019年の大手コンビニチェーンのスマホ決済サービスへの不正アクセス事件や、2020年の携帯キャリアの電子決済サービスの口座を利用した不正引き出し問題があります。これらの事例では多要素認証を実装していなかったことが問題となり、企業、ユーザーともに危機意識が高まりました。
複数の認証方式を組み合わせる多要素認証ですが、認証の要素は一般的に、「記憶」「所持」「生体情報」の3種類に分けられます。これらの要素から2つ以上の要素を組み合わせることを多要素認証といいます。「記憶」は利用者だけが知っているパスワードや秘密の質問など、「所持」はICカード、ショートメッセージ(SMS)やワンタイムパスワード(OTP)を扱う機器などで、「生体情報」は、指紋、顔、静脈、虹彩などの身体的特徴です。
それぞれの認証方式はログイン先のサービスの内容や要求されるセキュリティー強度などに応じて導入されますが、個々に導入するのは負担がかかります。そこでMDISは複数の認証方式をクラウドサービスとして一括提供する「MistyAuth」を開発しました。提供する認証方式には、一般的なIDとパスワードによるユーザー認証に加え、FIDOによる生体認証やICカード、電話発信認証、MDISが東京大学などと共同開発したライフスタイル認証などがあります。MDIS金融第一事業部 第一サービス事業推進室でプロジェクトを推進した大江哲浩氏は、次のように語ります。
「認証サービスをクラウドで提供するIDaaSの法人向け市場は急速に伸びています。利用者数の規模が大きい個人向けWebサービスでの多要素認証においても、不正アクセス事例の多発もあり、市場ニーズが高まっています。そこで、MDISでは個人向けのWebサービスを提供する事業者を主なターゲットに、初期投資の負担が軽く、運用も容易で、ユーザーも簡単に扱えるIDaaSとしての統合認証サービスのMistyAuthを企画しました。MistyAuthを採用することで導入企業は多要素認証に必要な要素を自由に選択し、ユーザーに対して一元的に提供することができます」
https://www.trendmicro.com/ja_jp/about/press-release/2020/pr-20200929-01.html
医療認証基盤構築で培った技術・ノウハウをベースに開発
本MistyAuthは、金融サービスや医療サービス、自治体サービス、ECサイト等の個人向けWebサービスや、Microsoft365、Zoom等の企業向けWebアプリケーションの認証を統合するサービスです。スマートフォン時代に合わせて、より簡単に認証ができる機能を提供しています。
近年、多要素認証として、SMSやOTPの認証を採用するケースが増えています。しかし、SMSは、内閣サイバーセキュリティセンター(NISC)の「小さな中小企業とNPO向け情報セキュリティハンドブック」で、その危険性が指摘されています。また、メールベースのOTPについても、複数の海外製アプリにおいてクリップボードの内容を自動的に外部送信していたことが発覚したこともあり、決して安心な認証方式とはいえなくなっています。そこでMDISではSMSやOTPに代わる新たな認証方式の開発に取り組んできました。
「MistyAuthのベースとなっているのは、MDISが得意とする医療認証基盤の構築で培った技術とノウハウです。ヘルスケア分野では、医療情報や個人情報へアクセスするための認証・資格確認において、厚生労働省が定める専用のセキュリティー対策基盤であるヘルスケアPKI(HPKI)と呼ぶ公開鍵暗号基盤を採用しています。MDISは、三菱電機 情報技術総合研究所と共同で、独自の暗号アルゴリズムを用いたHPKI認証基盤の構築やHPKIカードによる認証サービスの開発に関わってきました。MistyAuthは医療認証基盤構築で培った技術とノウハウをベースに、最新の標準規格やMDIS独自の認証技術を追加して開発しました」(大江氏)
以下に、代表的な認証技術について説明します。
-
● FIDO(ファイド)
FIDOとは、端末内でのオフライン本人確認とオンラインPKI認証を組み合わせた認証方式の標準規格です。オフライン本人確認では生体認証が使われることが多いのですが、ユーザーが普段使用しているスマートフォンを使ってオフラインで顔や指紋などによる生体認証を行い、その認証結果のみを認証サーバーに送信する仕組みです。生体情報がネットワークに流れることはないため、安全性と利便性の両面を備えた規格です。
-
● 電話発信認証
電話番号を利用した認証方式です。ユーザーの所有物であるスマートフォンや固定電話から認証システムに着信があると、着信した電話番号と登録済の電話番号を照合することで認証を行います。MDISでは、電話発信認証をクラウドで提供するサービスを「TELEO(テレオ)」として2020年7月から提供しています。
「TELEOを使った認証は簡単です。例えば、スマートフォンでTELEO対応のWebサービスにログインする際、ログイン画面でIDを入力した後、画面に表示された電話番号をタップして電話をかけるだけです。
TELEOは電話番号を不可逆のハッシュに変換して扱っており、また、電話の呼が確立する前に認証が終わらせており電話料金が発生しないため、安全性と利便性に加え、経済性にも優れています。
-
● ライフスタイル認証
近年第4の認証要素として「行動」を活用することに着目されており、その1つである「ライフスタイル認証」は、東京大学大学院情報理工学系研究科、三菱UFJニコス株式会社などと共同で開発した認証技術です。
ライフスタイル認証は、生活習慣から見出される個人の特性に着目したものです。具体的には、個人が持つスマートフォンのGPSによる位置情報と、無線のWi-Fi情報の2つを活用します。位置情報とWi-Fi情報は定期的に認証サーバーにアップロードし、AI技術によって個人の特徴をモデル化したテンプレートを作成します。利用する際は、実際の行動バターンとテンプレートを比較して、その一致率がしきい値より高ければ認証成功となります。
「MDISでは三菱UFJニコスと共同で、ライフスタイル認証を活用した購買実証を2019年に実施し、決済サービスとリアルタイムに連携することに成功しました。また、2021年2月~3月には、ライフスタイル認証・解析とaruku&(あるくと)※を連携した実証実験を数千人規模で実施しました。今後、位置情報やWi-Fi情報に加えて、アプリの利用履歴やスマホの操作のクセなども行動情報に加えることで、さらに一致率を高めていく予定です。
将来的には、公共施設、店舗の場所に設置されているセンサー情報を活用することも検討しています」(大江氏)
-
※aruku&(あるくと)は株式会社ONE COMPATHの歩数計アプリです。
-
● ICカード認証
近年、非接触インターフェースを持つICカードが普及しており、スマートフォンが搭載しているNFCリーダー※の機能を使って、非接触でICカードの情報を読み取ることが可能となっています。ICカード認証では、ICカードが搭載する電子証明書を、インターネット上で検証することで認証を行います。マイナンバーカードや、医師資格証(HPKIカード)の利用が可能です。
-
※NFCリーダ;近距離無線通信規格(Near Field Communication)の国際標準規格に対応したスマートフォンに搭載されるリーダー
-
● OpenID Connect
企業向けWebアプリケーションの認証連携で広く利用されるSAML※と比べて、シンプルに扱えるため消費者向けサービスの認証プロトコルとして採用される傾向にあります。
-
※SAML:異なるクラウドサービス間においてユーザー認証を行うための規格 Security Assertion Markup Languageの略
以上の認証方式にはそれぞれ長所と短所があり、用途に合わせて選択することになります。例えば、ライフスタイル認証は、特別な操作をしなくても、いつのまにかAIが本人を識別する便利な認証方式です。しかし、旅行など普段と異なる行動があると判別ができません。その場合は生体認証などと組み合わせるのが有効です。
顔認識を利用した生体認証は、マスク着用時の認証に課題があります。また、FIDOでは、事前に、指紋や顔の情報を元に認証鍵を作成し、サーバーに登録しておく必要があります。端末機種交換の際は、再度同じ作業が必要となるため、利用頻度の低いサービスの認証には不向きです。その場合は、補完として電話発信認証のTELEOやICカードが有効です。
ライフスタイル認証の技術をスマートシティやSociety5.0に展開
MDISでは現在、MistyAuthの2021年度中のリリースに向けて各認証技術の開発と実装を進めています。2020年には先行して、電話発信認証サービスTELEOをリリースしました。
さらにその先は、ライフスタイル認証で採用した技術を活用した新たなサービスを構想しています。
「個人の行動パターンを利用するライフスタイル認証は、認証だけでなくさまざまな用途で応用が利きます。例えば、高齢者や障がいを持った方の行動などを判別し、その人にあったサービスを提供することが可能です。ゆくゆくはライフスタイル認証をスマートシティやSociety5.0の実現に向けた基盤として提供していきたいと思います。」と大江氏は展望を語ります。
