新たな認証技術として、人の行動に関する特徴を活用する「行動的生体認証」が注目されている。安全性が高く、利用者に負担を強いないといった特徴がある。個人の機微に関わる情報を活用するため、導入する際はプライバシー保護への配慮が欠かせない。
ネットショッピングやオンラインバンキングといったデジタルサービスが一般化するにつれて、本人認証の重要性が高まりつつある。既に暗証番号やワンタイムパスワード、指紋認証など様々な認証技術が存在するが、より安全性が高く、かつ利用者に負担をかけない手段が求められている。
このような状況のなか、新たな認証技術が注目を集めつつある。行動的生体認証(Behavioral Biometrics)だ。パソコンやスマートフォンなどの操作、歩き方などの動作における癖や傾向といった利用者の行動に関わる特徴を利用して本人確認を行う手法を指す。
行動的生体認証では多数の行動的特徴を利用して、本人である可能性を算出する。他人が全ての特徴を模倣するのは難しいため、高い安全性が期待できる。普段の行動やサービス利用時の操作から情報を取得するので、利用者に負担を強いずに済む。ログイン時だけでなく、ログアウトまで継続して認証できるという利点もある。
行動的生体認証で用いる行動的特徴はカメラで撮影した画像のほか、キーボードやマウス、タッチスクリーンの操作、スマホの傾き具合などから取得する。
例えば、人が歩く様子を撮影した動画から「手や足をどう動かすか」といった歩き方を解析し、行動的特徴の一つとする。キーボードであれば、キーを打つ速さの緩急、利用頻度の高いキーはどれか、打ち間違える文字や単語の傾向、といった操作情報を行動的特徴として取得する。マウスからは、カーソルを動かす速さや向き、平均移動距離、ボタンをクリックする速さといった要素を活用可能だ。
スマホの傾き具合からも行動的特徴を取得できる。利用者がスマホを操作する際に、XYZ軸それぞれでどの方向に、どれくらい傾けるかといった情報を利用する。
行動的特徴の取得に使うカメラやセンサーの種類は必ずしも多くない。だが、それらから得られる情報を状況や条件などに応じて細分化することで、数多くの行動的特徴が得られる。ある行動的生体認証サービスは、数百種類の行動的特徴を利用しているとうたっている。
行動的生体認証では、取得した行動的特徴を数値化し、適切に認証としての役割を果たせるようそれぞれの特徴に対して重みづけを実施する。その結果を基に、機械学習やAI(人工知能)などを利用して本人である可能性を総合的に評価する、という流れだ。
追加認証によく利用されているワンタイムパスワードや指紋認証に比べ、行動的生体認証にはどのような利点があるかを改めて整理してみよう。大きく3点が挙げられる。
まず「模倣および詐称への耐性」。正当な利用者ではない他人が、利用者になりすまして認証を突破することが非常に難しいという意味だ。
先ほど見たように、行動的生体認証では多数の行動的特徴を利用して本人かどうかを判断する。行動的特徴の多くは、利用者が特段意識せずに日常で行っている行為である。だが、本人にとっては造作ない行為であっても、他人が同じような癖やパターンをまねるのは難しい。行動的特徴の種類が多くなると、なおさら模倣は困難になる。このため、行動的生体認証における模倣および詐称への耐性は高いとみなせる。
顔認証や指紋認証などの身体的生体認証と比べるとどうか。これらも認証の突破は困難というイメージが強いが、実際にはばらつきが生じやすい。顔認証や指紋認証に使うセンサーが高機能で、センサーで得た情報を扱う判定処理も複雑であれば、確かに高い精度で判定できることが期待される。だが、センサーの質が低かったり、判定処理が比較的単純だったりすると、攻撃者が紙に印刷した顔写真やシリコンで模造した指紋を用いることで、条件によっては認証を突破される恐れが生じる。
行動的生体認証では、こうしたばらつきが生じにくいと考えられる。通常は多数の行動的特徴を用いるため、個々のセンサーの質や判定処理の精度による影響が緩和されるからだ。
利点の2つめは「継続的な認証」。利用者がサービスを使っている間、サービス提供者は行動的特徴を適宜確認し、継続して認証を行うことを指す。
身体的生体認証を含めた従来の認証手法では通常、ログイン時にのみ認証を実施する。このため、ログインした状態をマルウエアが乗っ取ったり、ログイン後の端末を離席後に他人が操作したりした場合に、サービス提供者は「他人が利用している」という事実を確認できない。
これに対し、行動的生体認証ではログイン時だけでなく、ログアウトするまで行動的特徴を収集して本人確認を継続的に実施できる。このため、サービスの利用中に操作の特徴が急変した場合、「他人がなりすました可能性が高い」と判断できるようになる。
3つめの利点は「利用者の負荷の低さ」。行動的生体認証では、Webサイトやスマホアプリといったサービスの通常操作における特徴を収集して認証を行う。このため、行動的生体認証を導入しても利用者が操作手順を変える必要はなく、利便性を損なわずに済む。
オンラインサービスを対象に行動的生体認証を実装する際は、認証技術事業者が提供するソフトウエア部品を組み込んで利用する。ソフト部品はWebサイトならJavaScriptのコード、スマホアプリならライブラリーなどとなる。
金融サービスにおいて、行動的生体認証はどのような強みを発揮するのか。ここでは2つの例を挙げる。1つめはワンタイムパスワードの突破対策である。
ワンタイムパスワードは、オンラインバンキングにおけるフィッシング詐欺対策でよく用いられる。ただ最近では、正当な利用者のIDやパスワードと同時にワンタイムパスワードを窃取し、即座に本人になりすまして認証を突破するフィッシングサイトが登場している。
行動的生体認証を使えば、こうしたなりすましを防止できると考えられる。利用者による多数の行動的特徴を、フィッシングサイト側で完全に盗み取るのは困難であるためだ。オンラインバンキングであれば、画面上のボタンにカーソルを移動させる際の速さやスマホの向き、入金先情報をキーボードで入力する速さといった行動的特徴を収集しておき、高額の送金時や高額決済の実行時に行動的生体認証でなりすましの可能性を判定。結果によっては、取引内容について利用者に電話で確認する、といった使い方が考えられる。
もう1つの例は、セッションハイジャック対策だ。セッションハイジャックとは、ログイン後に攻撃者が利用セッションを乗っ取る攻撃を指す。
先ほど見たように、行動的生体認証ではログイン後も行動的特徴を使って認証を継続する。正当な利用者がサービスにログインしてセッションを開始した後に、他人が操作手段を奪って利用者になりすましたとしても、行動的生体認証を利用していれば行動的特徴の変化を検知して「セッションが乗っ取られた」と即座に判定できる。結果的に、不正送金などに悪用される前に警告を上げたり操作を中断させたりすることが可能になる。
行動的生体認証は様々なメリットがある一方で、課題も多く残っている。決して万能な技術ではなく、期待された効果が得られない可能性もある。
課題の1つとして、誤判定のリスクが挙げられる。行動的生体認証を含めた生体認証では「偽陽性」や「偽陰性」が生じる可能性が指摘されている。偽陽性は他者を正当な利用者だと誤認する、偽陰性は正当な利用者を誤って締め出す、という意味だ。
機械学習を活用した応用技術の中でも、行動的生体情報を用いた判定は発展途上の分野である。利便性とのバランスを取りつつ、偽陽性や偽陰性による誤判定のリスクをどう減らしていくかは大きな課題といえる。
正当な利用者にもかかわらず、行動パターンが変化したために偽陰性が生じる可能性もある。サービスのインターフェースが変更された、端末を機種変更した、手や脳のけがに見舞われた、といった場合は、同じ本人でも行動に変化が生じる。こうした変化に認証システム側でどのように対応するかも課題となる。
こうした課題が残っているため、現状では既存の認証手段を補完する方法として行動的生体認証を用いるのが望ましい。
行動的生体認証を活用する際は、利用者のプライバシー保護に対する配慮も欠かせない。
行動的生体認証が必ずしもプライバシーを侵害するとは限らないという見方もある。利用者の操作に関する特徴を用いる行動的生体認証は、人々の中から特定の個人を探り出す用途には向いていないとされる。また、日本の個人情報保護法では指紋や顔のほかに、行動的特徴の1つに挙げられる歩行の態様を「個人識別符号」としている。ただ現時点では、歩行の態様以外の行動的特徴は個人識別符号に含まれない。
しかし、コンピューターの処理能力向上や新たな分析手法の登場によって、Webサイトを訪問した人々の中から任意の行動的特徴を持つ特定の利用者を識別することが可能になるとも考えられる。その場合は、行動的生体認証の技術が利用者のトラッキングに転用される可能性も出てくる。
日本に先行してプライバシー保護の法制度を整備したEU(欧州連合)はGDPR(一般データ保護規則)で、生体情報を個人情報の一部として位置づけている。さらに生体情報の定義の中で、生身の人間を識別できる行動的特徴を保護対象として明記している。今後、技術の発展により行動的特徴が個人の特定に用いられたり、GDPRに倣って日本でも歩行の態様以外の行動的特徴を個人情報とみなすようになったりする可能性を考慮すると、行動的生体認証を用いる際に利用者のプライバシーを考慮することは必須条件だ。
利用者の視点から見ると、行動的生体認証に対して不安を覚える可能性も十分ある。行動的特徴がサービス利用中にどのタイミングで収集され、何に用いられるのかを認識するのは困難だからだ。
金融機関などが行動的生体認証を導入する際は、利用者1人ひとりに対して収集対象となる情報や用途などを丁寧に説明し、同意を得られた場合にのみ適用する姿勢が望ましい。サービス外で行動的特徴の収集や本人特定を行わないことや、収集した行動的特徴を安全に保管しているといった旨も確約するとなお良いだろう。これらをプライバシーポリシーに明記したり、操作画面に表示したりすることで利用者の不安が軽減され、理解と同意を得やすくなると考えられる。金銭と顧客の情報を預かる金融機関として、利用者に不安を与えないことが大切だ。
プライバシー保護のために、「プライバシー影響評価(PIA: Privacy Impact Assessment)」を実施することも有効である。PIAは、個人情報などパーソナルデータの取り扱いを開始するに当たって、発生し得るプライバシー侵害リスクを評価し、そのリスクを抑える実践方法をいう。採用予定の行動的生体認証サービスが行動的特徴をサーバー側で集中保管する形態であれば、大量のデータが置かれるサーバーでのリスクがピンポイントで高くなると評価する。金融機関は評価結果を踏まえ、そのようなサーバーの厳しいセキュリティー対策を認証の仕組みを提供するサービス事業者に要求する、といったことが考えられる。このようにPIAを実施することで、リスクに応じたプライバシー保護の取り組みが可能となる。
ここまで見たように、行動的生体認証は適切に導入すれば利用者の安全性と利便性を共に向上させる強みを秘めている。今後、本格的に活用が進むことが期待される。その際は技術的な注意点への考慮と同時に、利用者のプライバシー保護が重要になる。これらの利点と留意点を理解して活用すれば、行動的生体認証は金銭窃取といった悪用防止と利用体験の向上を両立させるセキュリティーの革新につながるはずだ。
https://info.nikkeibp.co.jp/nft/sales/
日経BPの了承を得て転載/無断転載・複製を禁じます。