第三者がID/パスワードをなんらかの手段で入手。会員専用サイトにログインしてコンテンツを入手したり,あるいはオンライン・ショッピングを利用したりしていると,「あなたは本当にAさんですか?」という確認メッセージが表示され,そこでアクセスが遮断される。

 このとき,たとえばWebサイト側から「本人確認のため,登録メール・アドレスに再確認用パスワードをお送りします。表示されたダイアログ・ボックスにそれを入力してください」と,本人確認が再度実施される。その第三者がメール用パスワードまで手に入れていなければ,そこで不正アクセスは終了となる――

 これは,すでに実用段階に近づいているバイオメトリクス認証技術の利用例。実は,そのユーザに特有のなんらかの“生体的特徴”を使って,いったんログインした後もそれが本人であるかどうかを“確認し続けている”のがポイントである。

 ユーザーが認証のための特別な操作をしなくても,普段通りの操作をしているだけで,本人であるのかを判定するというものである。バイオメトリクス認証の真骨頂といえる。

従来の認証技術は“入り口を守る”ことしかできなかった

 現在,ユーザー認証には,ID/パスワード方式が最も広く利用されている。しかし,ID/パスワードは,誕生日など推測しやすいパスワードを使わない,パスワードを書いたメモなどを見られないようにする,できれば定期的にパスワードを変更する――といったユーザーの注意,行動によってセキュリティ・レベルが変わる。

 これに対して,バイオメトリクス認証はその操作が簡単で,ユーザーの注意などに依存する要素が少ない。指紋や掌紋,声紋,虹彩(こうさい),網膜,顔といった身体的特徴や筆跡など,さまざまなバイオメトリクス認証技術が実用化されている。

 しかし,これらは,あくまでシステムやネットワークに入るためのユーザー認証の一方式に過ぎなかった。バイオメトリクス認証を利用しても,デジタル証明書を使うPKI(公開カギ基盤)やワンタイム・パスワードを導入するのと同じく,入り口となる“ゲート”を守る意味しかなかった。

 第三者が,なんらかの手段でいったんシステムなどに侵入してしまえば,あとはやりたい放題になってしまう。ログインしたあと,本人が席を離れているうちに,第三者が勝手に悪用していてもサーバー側では全く分からない。

 そこで,生きてくるのが,新しいバイオメトリクス認証技術である。バイオメトリクス認証は人が本来持つ特徴をチェックする技術である。通常のユーザー認証といった“ゲート”を通ったあとも,本人ならばその特徴はおのずと同じはず。そこに目をつけた技術がいくつかある。

マウスの握り方を常にチェック

 その一つが,富士ゼロックスが開発した「マウスの握り方」による認証技術である。マウスをクリックするたびに,マウスの握り方をチェックして本人であるかどうかを判断する。ログイン時だけでなく,そのあと操作している間も本人であるかどうかをチェックできる。人そのものや普段の行動のなかから認証のカギを見つけ出そうという発想から,生まれた技術である。

 マウスの握り方,正確にはマウスを握るときの手の形を読み取るために,発光ダイオードと受光トランジスタを4個ずつ埋め込んだマウスを試作した。マウスをクリックするたびに発光ダイオードが赤外線を発し,手の平に反射した光を受光トランジスタが読み取る。

 照合精度は,他人を本人と誤認識する確率が1~2%と,指紋認証の0.1~0.0001%などよりも劣る。しかし,ほかの認証技術と組み合わせるなど,使い方次第では実用可能である。

キーボードをたたくリズムも認証の対象に

 同様にキーボードをたたくリズムなどで,ユーザーを認証しようという研究も,米スタンフォード大学などで進められている。第三者が他人のパスワードを入手したとしても,キーボードをたたくリズムなどで本人であるかを確認する技術である。スタンフォード大学が開発した技術をもとに,米Net Nanny Softwareが製品化した「BioPassword」がそれである。

 残念ながら,こちらは,マウスと違って,ユーザーが自由に文字を入力したのを認証するというレベルには達していない。このため,入力する文字列をあらかじめ決めておき,そのリズムなどをチェックする形をとっている。具体的には,ユーザーIDとパスワードを入力する際のキーを押している時間や,キー入力の時間間隔などで本人であるかを確認する。国内では,エス・アンド・アイが販売している。

 この技術を使えば,たとえID/パスワードを知られても,それだけではログインできないシステムを構築できる。それに,特別な入力デバイス(ハードウエア)が不要という点も魅力である。

音声でだれであるかを判定

 実は,音声を使った認証技術の応用も進んでいる。音声の特徴である声紋を使ったユーザー認証は,すでに実用化されている。パスワードなど決まった言葉の音声をもとに,本人確認する方法である。

 いま,検討されているのが,電話でやりとりする音声をチェックして,だれであるかを判定する技術である。テレマーケティングやサポートなどの電話窓口では,いたずらや嫌がらせの電話で悩まされることが少なくない。それも,おそらく同じ人によるものが多いという。

 こういう場合に,音声で,その“常習犯”であるかを割り出し,的確な対応を採ろうという狙いがある。この使い方には,“人の顔を見て対応を変える”という面があり,ともすれば差別につながる。実際の運用には,慎重さが必要である。

 こういったバイオメトリクス技術の実用は,ユーザーに“常に監視されている”という抵抗感を抱かせることになるかもしれない。しかしそれは,第三者の不正アクセスのリスクや認証のために収集する情報やその利用方法などを説明することで,解決可能な問題であろう。

(小松原 健=日経インターネット テクノロジー)