「行動的生体認証」とは? 顔、指紋の次に来るセキュリティは我々の生活を変えるか

このエントリーをはてなブックマークに追加

生体認証ときいて、みなさんは何を思い浮かべますか?顔認証、指紋認証、網膜認証など、生体認証にはすでに実生活に浸透している技術も多く存在します。

「個人に固有の特徴」を認証として使えば、ハッキングされることやそもそも忘れてしまうことなど、元来のパスワードの持つ問題が解消される、というのが生体認証研究の起源でしょう。

技術発展著しい生体認証(Biometrics)分野ですが、最近は「人の行動」を個人の固有データとして扱う、”行動的生体認証”(Behavioral Biometrics)をセキュリティに導入する試みが多数おこなわれているよう。今回はそのいくつかをご紹介します。

行動的生体認証(Behavioral Biometrics)とは?

すでに数年前からさまざまなデバイス、セキュリティ分野で日常的に使われている顔認証、指紋認証などは生体認証の中でも特に身体的生体認証(Physical Biometrics)に分類されます。

これらはその名の通り、個々人の持つ身体的特徴を固有データとして扱います。反対に、今回紹介する行動的生体認証は、人が持つさまざまな行動の癖やパターンを固有データとして扱います。

では、人が持つさまざまな行動の癖やパターン、とはどのようなものがあるでしょうか。

Photo by Unsplash

わかりやすい例としては「署名」があります。個々人の持つ字体の違いが本人を識別する個体情報として機能します。しかし、純粋な署名による識別では、人の感覚によってのみでしか識別できず、加えて現在のインターネット時代では適用に限界があります。

こうした理由から、今日まで数字や文字を使ったパスワードや身体的生体認証が発展してきたと考えられます。

また、スマートフォンやIoTなどの発展により、ユーザーのデバイスから直接行動情報を集めることが簡単で手軽になっているため、それをセキュリティ情報として扱うに足るようになったことも、行動的生体認証が発展してきた理由でしょう。

行動的生体認証のメリット

では、なぜすでに身体的生体認証が生活に浸透しているにもかかわらず、行動的生体認証が注目され始めているのでしょうか。

大きな理由としては、身体的生体認証よりさらに「突破される可能性が低い」ことです。身体的生体認証の多くは純粋な署名やパスワードよりもハッキングの危険性が低いことが特長。

しかし、それでも指紋を何らかの手段で取られたり、顔をカメラで3D解析等されてしまった場合のリスクは残ります。(それでもかなり低いですが……)

しかし、人の「行動の癖」はとても複雑なデータから成り、仮にそれらをすべて入手できたとしても、意識して実行するのは不可能に近いでしょう。

そのほかに「プライバシー性が高い」という特長があります。顔認証を例に取ると、顔認証キーを設定する際、顔の3D情報などさまざまな情報を登録する必要があります。ハッカーがこのキーをハックした場合、セキュリティが突破されるだけでなく、自分がどんな顔なのかというプライバシーまで侵害されてしまいます。

Photo by Unsplash

つまり、身体情報はすべてが自分のプライバシーであり、それを情報化して預けるということは常にプライバシーが侵害される危険性を秘めていると言えます。

しかし、行動的生体認証はどうでしょうか。ハッカーがあなたの行動的生体認証キーをハックしたとしましょう。

その際、彼らが手にするユーザー情報は「LとKキーを〇〇%で打ち間違える」「スクロールの平均時間は〇〇秒」といった、それだけで個人を特定することが不可能なものになります。

そして後述するように、人々の行動の癖はとても高い精度で個人を識別することができます。

さらに、多様な行動情報を組み合わせることが可能というところにも強みがあります。現代ではスマートフォンやIoTの発展により、ユーザーのさまざまなデバイスから行動情報を簡単に、さらに無意識的に収集することができるためです。

人は日々さまざまな行動を取るため、組み合わせを複雑化でき、それがセキュリティの向上に直結する、という利点があります。

次の章では、具体的にどのような活用事例があるのかを紹介していきます。

銀行口座のログインに行動的生体認証が使われている

Photo by Pixabay

イギリスのスコットランド王立銀行では数年前から、一定数の富裕層のアカウントログインに行動的認証法を採用し、テストをおこなっていたそう。ユーザーがアカウントにログインする際、スマホのスクロール速度、スマホを持つ角度、指圧から使う指まで、実に約2000個以上もの特徴を記録、解析していました。

このシステムを受託したのはニューヨークのスタートアップ企業、BioCatch社。行動解析からとれる情報はとてもユニークであり、ハッキングすることが難しいと同社のCEOは語ります。ユーザーはユーザー認証の際、指紋を置いたり、顔を写したり、パスワードを入力するといった手間なく、デバイス操作中の行動解析で認証が完了するため、ストレスフリーでスムーズな認証が可能だそう。

Source:Banks and Retailers Are Tracking How You Type, Swipe and Tap

「歩き方」を生体認証として研究している例

Photo by Unsplash

同じくイギリスのインペリアル・カレッジ・ロンドンでは人の歩き方を行動的生体認証として活用する研究を発表しています。

スマートフォンやウェアラブルデバイスから得られる運動情報(加速度、角速度、電磁場)をニューラルネットワークで処理をすることで、精度を上げようとしています。

さらに、同じくイギリスのマンチェスター大学では特殊なマットとスキャナーにより、歩圧と歩き方のモデルから行動的生体認証を可能にする研究をおこなっています。

空港などのセキュリティシーンを想定しており、靴を脱いだりする必要なく、マットの上を歩くだけで本人確認ができる、という仕組みです。

「人間の歩行には24個ものファクターが働いており、それらによって高い精度で個々を識別することができる」と研究の指揮をとったOmar Costilla-Reyes氏は語ります。

この研究はなんとたった0.7%しかエラーが出てないことから、実用性の高さが伺えます。これらのシステム構築にも機械学習が使われており、合計約2万歩と127人の人のデータを用いて学習させたそう。

それだけでなく、2つの行動的生体認証の研究は、歩き方から病気の判定もおこなうことを目指しているという点で共通していました。病気が人間の「歩き方」に大きく関わることから、歩き方の情報収拾は自ずと病気判定の役に立つとのこと。

Source:
Footsteps, Pressure Sensors, and AI: The Next Step in Airport Security
A new artificial neural network framework for gait based biometrics

行動的生体認証をいち早くでプロダクトに落とし込んだ”UnifyID”

上記の研究を集約したようなプロダクト、実はすでにもう出ているんです。

アメリカのトップスクール出身のエリートたちが結成したスタートアップUnifyIDは、2016年にサンフランシスコのTech Crunchのピッチイベントに登壇し、去年アメリカのVCであるNEAに$20M(約20億円)の出資を受けたほどの勢いのあるスタートアップです。

彼らは、ほかと同じようにさまざまなデバイスからのデータを収拾し、AIで処理をさせることでそれらを行動的生体認証として利用しています。そして、やはりすでに99.999%の正確性でプロダクトとして実用レベルまでに達していることが大きな差となっています。

UnifyIDがどのように機能しているかは2016のTechCrunchでの動画で確認することができます。

とてもスムーズにロックを解除していることが見て取れます。2016年時点ですでにここまでのレベルに達していることに驚きが隠せません。

行動的生体認証はすごい、でもデメリットは?

Photo by Pixabay

ここまでみると、行動的生体認証は今までのセキュリティ概念を覆す万能ツールに見えてしまいます。

ただ、そもそもなぜそこまで万能なのにも関わらず、未だに一般的に普及していないのか。そこにはデメリットや未解決の問題も多く残っています。

第一に、人の行動は環境や外的要因に大きく作用されるということ。たとえば酩酊しているときや急いでいるとき、さらには怪我をしたとき、私達の行動は普段とは大きくかけ離れたものとなります。

それだけでなく、家にいるときと会社や学校にいるとき、平日と休日などの違いで行動が変わることも多々あります。単に「歩き方のデータ」や「タイピングの速さ」のデータ使うだけでは、このような変化に対応できません。

さらに、行動的生体認証を可能とするのは行動データですが、これを十分にそろえることができる環境がいまだに一般的ではないことも、普及が進まない要因であると考えられます。

スマートフォンなどにより多少の行動データを取ることはできますが、環境的要因まで扱うとなると限界があり、多様な環境構築(IoTなど)が必要になってくるでしょう。

それもそもそも、まだ行動的生体認証技術が一般的に認知すらされていないことから、環境構築まで動きづらいということでしょう。

最後に、上述のとおり、人の行動は個々人の病気と強い関連性を持っていることがわかります。これは個々人が気づく前に、行動データが病気を突き止めてしまうという問題を発生させます。

その場合、私達の医療的プライバシーが私達が認知するより先に漏れてしまう、という欠点が生まれてしまいます。いくら行動的生体認証がプライバシー性が高くても、病気のようなデリケートな情報を扱う可能性があることを考えると、データの扱い方の法整備が待たれます。

以上から、普及ないしは認知にはもう少し時間がかかるでしょうが、とてもSF的で、かつ便利なものではあるので、目が離せない技術であることには間違いありません。