市場・トレンド

【解説】ライフスタイル認証

  • はてなブックマーク
  • follow us in feedly

ライフスタイル認証とは、スマートフォンやウエアラブル端末などから蓄積・収集された、個人の行動履歴に関するさまざまなデータを活用し、個人を認証する技術。現在、主流となっているID・パスワードによる認証に代わる次世代認証技術として期待されており、2017年1月現在、東京大学大学院情報理工学系研究科 ソーシャルICT研究センターが、5万人規模の実証実験を行っている段階だ。

スマートフォンをはじめとするモバイル端末には、「何時に起床し」「どこへ移動し」「いつ、どのアプリを利用し」「どんな行動をしたか」など、個人の行動に関する広範で詳細な情報が膨大に蓄積されている。ライフスタイル認証は、こうしたビッグデータを収集して分析することで、個人の行動に関する有意義な情報を抽出し、安心・安全に本人確認を行うための技術だ。

これにより、いくつものパスワードを記憶・入力したり、トークンなどを持ち歩いたり、指先をタッチすることで指紋や静脈を用いたりすることなく、個人の認証が可能になることが期待されている。

「MITHRA Project(Multi-factor Identification/auTHentication ReseArch Project:ミスラ・プロジェクト)」(*1)と名づけられた実証実験は、ヤフーやオムロン、凸版印刷、小学館などが参加して行われる。小学館のマンガ閲覧サービス「マンガワン」(*2)や、凸版印刷の電子チラシアプリ「Shufoo!」(*3)など、既存の商用サービスと連携することで基礎的なデータを集め、認証精度の向上など実用化までの課題を検証していく。

たとえば、スマートフォンに蓄積された「移動パターン」や「運動履歴」などから個人の特徴をつかむことや、マンガの閲覧履歴、時間や閲覧作品などの関係から本人のパターンを推測することなど、一定期間の行動履歴を詳細に分析することで本人認証に役立てていく。

将来的な実用イメージとしては、スマートフォンアプリへのログインや、スマートフォンでの買い物(ECサイトでのログインや決済)だけでなく、たとえば、スマートフォンを持ち歩くだけで、実店舗での商品購入の決済が行えるといった可能性も考えられる。

ライフスタイル認証のしくみ
ライフスタイル認証は、個人の運動の履歴や位置情報、端末情報、ECの利用履歴などのデータから本人確認を行う。認証結果に問題がなければ、アプリへのログインやEC利用の認証に活用される

ソーシャルITCセンター資料より作成

パスワード認証の限界

こうした認証技術が注目を集める背景には、パスワード認証の限界がある。パスワードは、盗まれてしまうと、マイレージやECサイトのポイントなどが盗まれる「金銭的被害」に加え、個人情報が盗まれて「なりすまし」の被害にあったり、SNSなどでつながる自分の友人や知人にまでウイルス感染などの被害が及んだりするなどの可能性がある。

こうした被害を防ぐためには、利用サービスごとに、容易に推測されないよう複雑で長いパスワードを設定し、使い回しはしないなどの適切な管理が求められる。しかし、多くのユーザーは複数のウェブサイトで同じパスワードを利用する傾向にある。

独立行政法人 情報処理推進機構(IPA)が、2015年12月に公開した「2015年度情報セキュリティの脅威に対する意識調査」(*4)によると、「サービスごとに異なるパスワードを設定している」人は、10代以上のパソコン利用者5,000人のうち27.3%にとどまっており、実に7割以上の人がパスワードを使い回していることになる。多くのユーザーにとって、いくつものパスワードを設定、記憶しておくのは大変なので、1つのパスワードを使い回すことになるのだろう。

つまり、ユーザーの記憶に頼るパスワード認証で安全性を確保することには限界があるのだ。

最近では、事業者側で追加のセキュリティ対策として、ユーザー名とパスワードに加え、「セキュリティコード」や「ワンタイムパスワード」を用いる「2要素認証」や、静脈や指紋、虹彩などの身体的特徴を用いる生体認証、あるいは、ネットバンキングなどでは、ユーザーの端末やアクセス時間などの行動パターンを分析し、「普段とは異なる異常行動」を検知し、必要に応じて追加の認証を行う「リスクベース認証」を導入しているところもある。

しかし残念ながら、こうしたセキュリティ対策はまだまだ一般的に浸透しているとはいえない状況だ。

認証精度の向上と、プライバシー管理が課題に

パスワードの入力や静脈のスキャンなど、ユーザーに特別な作業を強いることのないライフスタイル認証は、次世代認証技術として注目を集めているが、実用化に向けて今後の課題の1つは、認証精度の向上だ。先に紹介した生体認証は、一般的に99%以上の精度があるといわれるが、ユーザーの行動履歴データをもとに認証を行うライフスタイル認証のしくみは、「1つの要素だけでは90%以上」程度の精度にとどまるという。

しかし、精度の向上は不可能な話ではない。ライフスタイル認証は、技術的には行動履歴情報をもとにしたリスクベース認証を、複数組み合わせた多要素認証と位置づけることができる。この手法は、認証に用いるデータ要素が多要素になればなるほど、あるいは分析対象となるユーザーのデータが増えれば増えるほど精度が高まっていくと考えられるので、ライフスタイル認証の精度も、データの増加にともなって向上する可能性が高い。

もう1つの課題は、ユーザーのプライバシー情報に関する安全な取り扱いだ。ユーザーの特定につながる機微な情報が意図せず外部に流出したり、第三者によって不正に活用されたりといったリスクを回避しなくてはならない。

この点については、たとえばシステム側で安全な通信のしくみを確立し、通信途上におけるデータ漏えいを防ぐ対策を行うことや、ユーザーとサービス事業者側で、どこまでのプライバシー情報を提供し、どのような目的で活用することを許容するかなど、実用化に向けた議論の中で基準が定まっていくことが期待されている。

  • はてなブックマーク
  • follow us in feedly

この記事が気に入ったらいいねしよう!

「いいね」してInsight for Dの最新情報をチェック

Insight for Dの公式Facebookページ、Twitterでも最新情報や取材の様子を発信中。