何もしないで本人認証できる「ライフスタイル認証」とは？：5分で分かる最新キーワード解説（2/3 ページ）

[土肥正弘，ドキュメント工房]

今までの認証方式の弱点をカバーする「ライフスタイル認証」

　前置きが長くなってしまったが、ライフスタイル認証は、リスクベース認証のようにユーザーのデバイス情報を基に多要素認証を組み合わせた新しい手法だ。リスクベース認証と違い、ライフスタイル認証で用いる要素は、本人の生活の中から自然に得られる行動パターンだ。現在研究の対象とされる行動パターンは次の通りだ。

移動パターン

　1日の行動習慣としての移動に注目する。移動先としては自宅、オフィス、コンビニなどの店舗の3カ所が考えられる。山口氏によると、これらの移動先と時刻との相関をモニターすれば、個人個人の特徴が必ず表れる。その特徴を持つ人が本人だと推測できるわけだ（図1）。

図1 移動パターンによる本人特定の研究（出典：ソーシャルICT研究センター）

マンガの閲覧履歴

　研究では小学館の協力を得て、同社のマンガアプリを利用するユーザーの閲覧履歴を分析する（ユーザーが情報取得について承認した場合のみ）。週単位での閲覧曜日と作品の相関や、1日のうちでの閲覧時間や回数をモニターし、また閲覧する作品に関する情報を取得すると、本人だけの閲覧パターンが表れる（図2）。

図2 マンガの閲覧履歴による本人特定の研究（出典：ソーシャルICT研究センター）

運動履歴

　通勤や通学、昼食、帰宅、在宅といった1日の生活習慣と、曜日ごとの違いのデータを所得すると、本人ならではの特徴パターンが特定できる（図3）。

図3 運動履歴による本人特定の研究（出典：ソーシャルICT研究センター）

　これらのデータは、個人が持つスマートフォンやタブレット、ウェアラブルデバイスなどから取得できる。また、サービス側サーバからはアプリ利用履歴や端末情報、買い物履歴、カメラ情報などの個人のデータも取得できる。それらのデータを多要素認証システムに送信してシステム内で厳重に保管するとともに解析、モデル化して、本人認証に役立てる（図4）。

図4 ライフスタイル認証システムのイメージ（出典：ソーシャルICT研究センター）

　つまりライフスタイル認証は、ある程度以上の期間のユーザーの行動履歴を詳細に取得し、ビッグデータを解析して1人1人の行動パターンやそれにひも付いた利用環境を割り出して認証に役立てる仕組みだ。

　例えば、スマートフォンアプリからの各種サービスへのログイン、ECサイトでのログインや決済、カード会社における不正追跡などに利用価値が高いと考えられる。スマートフォンを持っていればそれだけで、ID／パスワードの入力もバイオメトリクス用のスキャナーへのタッチも必要なく、何も明示的な操作をせずに認証が行えるようになる可能性がある。

　認証に利用する要素は、利用端末、端末の位置、利用時間、利用内容などであり、これほど多要素で認証を行う仕組みはこれまでにない。1つ1つの要素だけでは本人特定の精度は90％以上といった程度かもしれないが、多要素が組み合わされれば組み合わされるほど精度は上がるはずだ。

　なお、端末ー認証システムーサービス提供サーバ間は公開鍵暗号を利用して、通信経路からたとえデータが漏れても不正行為が不可能な仕組みを作り込む。

　だが、一体どれだけの精度で本人特定できるのだろうか。それを確認しようというのが、被験者5万人という規模で行われる今回の実験だ。