連載
» 2016年11月22日 10時00分 公開

何もしないで本人認証できる「ライフスタイル認証」とは?5分で分かる最新キーワード解説(3/3 ページ)

[土肥正弘,ドキュメント工房]
前のページへ 1|2|3       

ライススタイル認証の大規模実験と未来

 ライフスタイル認証の研究プロジェクトは「MITHRA Project(Multi-factor Identification/auTHentication ReseArch project/ミスラ・プロジェクト)」と名付けられた。同プロジェクトには小学館(マンガ閲覧サービス「マンガワン」がデータを提供)、凸版印刷(ネットスーパー/チラシ閲覧サービス「Shufoo!」がデータを提供)、日立製作所、ヤフー、TISなどの民間各社が協力し、2017年初めに予定される大規模実験を山口氏らソーシャルICT研究センターとともに実行する運びだ。

 被験者には実験用に開発したスマートフォン用のアプリが配布され、一部の被験者にはヘルスケアデバイスも配布される。被験者は行動データを取得されることになるが、山口氏のこれまでの実験事例では、マンガ閲覧履歴の研究のためにサービスポイントをインセンティブとして提供して実験参加を募ったところ、5万人ほどの応募者があったという。

 プライベートなデータを取得されることに対して相応の見返りがあれば、必ずしも行動データ取得に対する心理的な障壁は高くないようだ。5万人規模の実験というと被験者集めに苦労しそうだが、山口氏はそこを心配してはいない。

 「この研究の最大の課題は、プライベートな行動データが第三者に渡ることに対する不安です」と語る。「しかし、Googleを始めソーシャルサービス業者など多くの民間企業がユーザーの特定情報を収集し、サービス進化に役立てています。便利なサービスにはそれができる理由があるのです。サービスの利用がどれだけ自分にとって利益があるか、言い換えれば自分が提供するデータの価値が、どれだけ自分に還元されるかが理解されれば、ライフスタイル認証も他のサービスと同じように社会的に受容されるものと思います」(山口氏)

 大規模実験は2017年3月までの予定だが、その結果の分析には長い時間が必要とのこと。成果が公表されるには1年ほどかかるかもしれないが、期待を込めて待ちたい。

関連するキーワード

パスワードリスト攻撃

 不正な手段で取得したと考えられる多数のユーザーID/パスワードをリスト化し、自動化されたログイン操作によりインターネット上の各種サービスに不正ログインを仕掛ける攻撃のこと。数年前から増加し、複数のサービスで同じパスワードを利用している場合に、被害に遭う可能性が高い。

「ライフスタイル認証」との関連は?

 ユーザーID/パスワードだけによるオンライン認証をさらに利便性高く、かつ安全にすると考えられるのがライフスタイル認証だ。パスワードを利用せずに安全な認証システムが実現できれば、従来コストが発生しがちだったパスワード運用管理やユーザーサポートのコストをゼロにできる。

リスクベース認証

 ユーザーの利用デバイスや行動パターンに基づいて、成りすましアクセスの可能性がある場合、あるいは従来と異なるアクセスのパターンである場合に、追加の認証を実施する認証方法。本文中の例の他にも、不正アクセスのパターンのデータベースと照合してリスク評価をするシステムもある。

 金融機関などでよく使われ、基本的にはユーザーID/パスワードでログイン可能にしながら、疑いがあるアクセスの場合に「秘密の質問」などの追加認証を行うケースがある。ただし、秘密の質問への回答は推測可能であるため、他のもっと確実性の高い認証情報を利用するケースも増えた。

「ライフスタイル認証」との関連は?

 リスクベース認証の考え方をさらに敷衍(ふえん)、拡張したのがライフスタイル認証だ。本人特定に結び付く多くの生活行動パターンに基づき、本人か否かを判断する。リスクベース認証で必要なID/パスワード入力も省略し、「何もしないで」認証可能にするのが目標だ。

FIDO(Fast IDentity Online)

 認証をユーザーの手元の端末で行う方式。まず、端末内の認証システムで本人認証を行い、認証が通れば、端末内の秘密鍵でサーバから送られる情報を暗号化した一時的なトークンを生成してサーバ側に送信、サーバ側は公開鍵を利用して正当性を確認するという公開鍵暗号方式を利用した認証の仕組みが使えるので安全だ。

 バイオメトリクス認証と相性が良く、ユーザー端末に指紋認識などの機能があればセンサーのタッチだけでID/パスワードの入力の必要がなくなり利便性が高くなると期待される。

「ライフスタイル認証」との関連は?

 ライフスタイル認証は認証用のサーバ側での認証処理を前提にするので、特別な関連はない。ただし、多要素認証の認証要素を増やすことには意味があり、組み合わせて利用するとさらに安全が期待できそうだ。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。