ソーシャルICT研究センター

ライフスタイル認証による安全快適な社会の実現

東京大学大学院情報理工学系研究科ソーシャルICT研究センター次世代個人認証技術講座(三菱UFJニコス寄付講座)では、「ライフスタイル認証」と名付けた新しい個人認証技術の研究に取り組んでいます。
ICT技術の利活用が進む中、個人認証はネット通販やSNSなどインターネット上のサービスを受けるために必要不可欠な技術となっています。
「ライフスタイル認証」は個人の生活習慣、すなわち、ライフスタイルを利用することで、利用者が負荷なく認証を行える手法です。

パンフレット
MITHRA Project パンフレット

ライフスタイル認証とは

ライフスタイル認証は、MITHRA (Multi-factor Identification/auTHentication ReseArch) Project の中で生まれた新しい認証技術です。
IoT時代に入り、ビッグデータから有意義な情報が抽出できるようになりました。
こうした新たな社会的背景の元、認証技術のこれまでの課題を解決していく手段として研究を進めているのが、ライフスタイル認証です。

ライフスタイル認証とは?

ライフスタイル認証は、ライフログデータを用いて認証を行います。
ライフログとは、スマートフォンなど様々なICT技術を使った個人ごとの利用履歴を指します。
このライフログを活用し、個人の生活習慣で認証することをライフスタイル認証と呼びます。
例えば、スマホの位置情報を使い、自宅や職場など普段の行動範囲から離れていないか、いつもと違う行動をしていないかを判定する事で認証を行います。
ライフスタイル認証イメージ
また、ライフスタイル認証では、認証要素の組み合わせをユーザーにとって利用しやすいものに柔軟に変えることができます。
従来の多要素認証には、認証のためにユーザにさまざまな動作を求めることになるため、利便性が下がってしまうという課題がありました。
ライフスタイル認証は、個人の生活習慣を用いる事で利用者が負荷なく認証を行う事ができます。
認証要素としてスマートフォンの端末情報、位置情報やWi-Fi情報、買い物履歴、ウェアラブル端末のセンサ情報などを用います。
既存インフラが活用できる上、新しい手段も柔軟に追加できるという特徴があります。

現状の認証技術における課題

IDとパスワードの限界

現状の認証技術の課題として「ほとんどのウェブサイトがIDとパスワードに頼っていること」「ユーザーが同じパスワードを使いがちなこと」があります。
こうした問題に対応するため、ワンタイムパスワードやICカード、SMSによる2段階認証など、多様な認証方法が提案されてきましたが、導入が進んでいないのが現状です。
ユーザリテラシーを上げれば解決できるはず、という事も言われてきましたが、このような教育も未だになされていません。

情報セキュリティだけに目を向けない

現在の情報セキュリティ研究の多くは「セキュリティを完全に」ということを重視し、1ヵ所でも不正が起きないような技術を議論する枠組みがほとんどです。
一方で、実社会では不正が起きることを前提としたシステムが成り立っています。
クレジットカードの流れで考えてみると、ユーザに明細を送り後で不正を発見する、という枠組みを利用しています。
不正に対して「後から保証する」ことで、利用時のセキュリティについてはある程度重視するものの、完全なものを求めてはいません。
我々は「不正を完全になくす」というよりは「不正を減らしていく」技術の研究を進めていく必要性があると考えています。

ユーザ利便性が高い技術

セキュリティが高く利便性が高い認証技術が必要、という言葉は20年もの長い間言われ続けてきましたが、この問題は未だ解決されていません。
ユーザの動作を求めずに、サーバ側の情報のみで認証を行う技術としてリスクベース認証があります。
リスクベース認証は、ユーザが利用している端末のIPやOSの情報を利用して、ある基準を満たさない場合には本人かどうか疑わしいと判断し、別の認証の入力を求めるというものです。
現在は利用中の端末情報だけを使っていますが、スマートフォンやウェラブル端末等の多様な情報を利用する事で、疑わしさだけでなく本人かどうかの確認ができるようになると考えています。

現状の社会システムに合わせる

不正が減って利便性が高い技術ならば導入される、とも限りません。導入コストも大事です。
ユーザ全員に何かを配ったり、インフラシステムを大きく変えたり、といった全体を変更させると導入コストは非常に高くなります。
現在はスマートフォンが爆発的に普及し、ウェラブル端末の普及も進み、人々の周りにあるありとあらゆる端末がネットワークにつながる「IoT時代」と言われています。
更に、これらの端末から得られる大量で多種多様なデータ「ビッグデータ」を活用しようとする取り組みが盛んに行われています。
個人認証技術においても、IoT時代、ビッグデータ時代に適したシステムを考える必要性があります。

ライフスタイル認証実証実験

データごとに利用できる技術はどのアルゴリズムが最適か、どういったパラメーターが適切なのかについて検討するためには、実際のユーザデータを解析しなければなりません。
2017年1月11日から2017年4月26日までの約3ヶ月半に渡り、13社の協力を受け、既存の商用サービスとも連携し世界的に見ても大規模な実証実験を行いました。
実証実験参加者募集
結果、約5万7千人の参加者から、端末、電波(Wi-Fi)、位置、IP、利用時間、運動履歴、マンガ履歴、電子チラシの情報を収集する事ができました。
実験協力者の皆様からデータのご提供を頂くにあたりユーザ同意の重要性に配慮し、どういった情報をとって、何に使っているか、ユーザに分かりやすく示しました。
また、実証実験期間中、カレッタ汐留や東京ドーム、六本木ヒルズなどでデモンストレーションを行い、ライフスタイル認証を体験頂く機会を設けました。
データをご提供頂いた参加者の皆様、ご協力をくださった企業の皆様、実証実験に関わったすべての皆様に深く感謝申し上げます。

MITHRAロゴ MITHRAアプリ同意画面 実証実験デモンストレーション

ライフスタイル認証による安全快適な社会の実現

ライフスタイル認証は、ICT技術だけでの完全性を目指さず、社会全体での安全性を目指しています。
従来は認証時にある一点で認証を行ってきましたが、今後は、認証の瞬間は一瞬だとしても、長い時間のデータを活用して認証する方法が主流になると考えています。
プライバシーなど乗り超えるべき項目は多々ありますが、生活そのもので本人性を出すことは攻撃者に対して小さい壁を多数つくることになります。
安全・安心を重視することは大事ですが、コストや利便性とのバランスを考えることもとても大事です。
ICT技術は柔軟ですから、適切なバランスをもった技術を導入することが大事でしょう。
今後、ライフスタイル認証がより多くの場で利用され、社会全体が少しだけ安全になると信じています。

IoT社会だからこそ実現できるライフスタイル認証

【ライフスタイル認証】
「ライフスタイル認証」解説記事 (月刊J-LIS平成29年6月号)
(※この資料は、地方公共団体情報システム機構発行「月刊J-LIS」平成29年6月号に掲載された記事を使用しております。 なお、使用に当たっては、地方公共団体情報システム機構の承諾のもと使用しております。)