生活習慣がアクセスキーになる新しい個人認証の仕組み"ライフスタイル認証"とは

小林氏は、2015年からライフスタイル認証技術の研究に加わり、現在は東京大学とMDISなどが共同で開設した次世代個人認証・行動解析技術社会連携講座において、実用化に向けた取り組みを行っています。ライフスタイル認証が考え出された背景について、小林氏は次のように説明します。

「これまでの新しい認証技術は、安全面ばかりが重視され、ユーザー目線での使いやすさをあまり考えてきませんでした。それが、管理の問題がありながら何十年もパスワードが主流であり続けている理由の一つです」

ライフスタイル認証は、記憶や特別な認証操作を必要としないため、ユーザーの負担は大きく軽減されます。

「必ずしも利便性だけを追求しているわけではありませんが、他の手法に比べて利便性に優れたものにしたいと考えています」（小林氏）

認証に使うための生活習慣には、まずその人らしさがあり、かつそれが繰り返されること、さらにその習慣を電子データとして収集できるなどの条件があります。現在はスマートフォンのGPSで捉えた位置情報とWi-Fi（無線LAN）の情報を主に使用しています。

「スマートフォンには様々なセンサーが搭載されており、現状では生活習慣データの収集に最も適しています」（小林氏）

また、スマートフォン上のどのようなアプリを使うか、どのような操作をしているかにも、個人に特有のパターンが現れるとのことです。こうした情報を複数組み合わせることで、より精度が高く、なりすましの難しい認証が可能になります。

2017年1月には、ライフスタイル認証の研究に必要なデータを集めるための大規模な実証実験を行いました。この実験では、一般から募集した参加者約5万7,000人もの情報が約3ヵ月にわたって集められました。

「今もデータの解析を進めていますが、現時点で分かっていることは、人というのは思った以上に決まった行動をしているということです。例えば仕事で出張をすることが多く、一見、パターンを見いだすことが難しそうな人でも、実際にデータをとってみると、予想以上に位置情報に"その人らしさ"が現れています」（小林氏）

もちろん、人の行動にはある程度の揺らぎやアクシデントもあります。しかし、例えば位置情報をアプリの利用状況と組み合わせることで、位置や時間に一時的な違いがあっても同じ人だと判断できるそうです。この実証実験によって、生活習慣を認証に使えることが確認されました。

「現段階でもリスクの低い用途では十分に使えるレベルになっていると思います」と小林氏は話します。

ライフスタイル認証は、認証操作が不要という利便性の高さを生かして、スマートフォンアプリのログインや、少額決済などの用途を想定しているそうです。

「ユーザーは認証することが目的ではなく、サービスを利用したいのですから、認証にかかる手間はできるだけ省かれるべきです」（小林氏）

ライフスタイル認証の特徴に、もし認証デバイスが盗まれるなどして、一時的になりすましを許しても、後からシステムが自動検出できることが挙げられます。

「ライフスタイル認証では、行動情報の入った端末を盗むなどすれば、一時的になりすましを行うことも可能です。しかし、他人の生活習慣をそっくり真似し続けるのは不可能です。しばらくするとシステムはユーザーの行動がいつもと違っていることに気づいてロックをかけることができます」（小林氏）

従来の認証方式では、パスワードや認証デバイスを盗まれてしまうと、システムの側では本人となりすましの区別がつきません。また、本人が流出や盗難に気づかなければ、そのままアカウントを乗っ取られてしまいます。ライフスタイル認証ならシステムの側でそれを防ぐことができるわけです。

今後の研究の方向性としては、認証の精度を高めていくだけでなく、認証に使える情報の種類を増やすことを考えているそうです。それにより、例えば位置情報の提供が難しい人でも他の情報を使ってライフスタイル認証を利用できるようになります。

小林氏は、ライフスタイル認証はパスワードや生体認証といった従来の認証に取って代わるものではなく、ユーザーに新しい選択肢を提供するものだと語ります。

「今は、システム側の都合で認証手段が限定されていることが多く、パスワードや生体認証を使えない人は使える認証手段がなくなってしまいます。ユーザーが認証に使う情報を自由に選択できるというのが、将来の個人認証のあるべき姿だと考えています」

• ライフスタイル認証は、東京大学の登録商標です。