NaeNote

読者です 読者をやめる 読者になる 読者になる

NaeNote

気楽に生きたい外資コンサルのブログ

Googleが新しいユーザー認証技術に積極投資。背景と狙いを考察する

テクノロジー テクノロジー-情報セキュリティ
このくらいシェアされています
スポンサーリンク
【お知らせ】 12月12日(月)まで!Amazonが本気の割引セール「CYBER MONDAY SALE」を開催中。会場はこちら!

女性 指 フリック スワイプ 軌跡 スマートフォン 操作

こんにちは、NAEです。

少し旧聞ですが、Googleからこんな発表がありました。

2016年末までに、スマホ操作の癖から算出した「本人っぽさ」のスコア(Trust Score)をアプリ開発者が利用できるようにする、というものです。

本人っぽさはどのように測るのか?その中身はビヘイビアベース認証(Behavior Based Authentication)と呼ばれる新しい認証技術を使っています。

ビヘイビアベース認証、聞き慣れないですよね。

そこで本記事では

  • ビヘイビアベース認証ってなに?
  • それ使うと何が嬉しい?デメリットは?
  • そもそもなぜ今注目されているの?
  • Googleが投資する理由は?
  • 今後の展望は?

といったところを、IT技術やセキュリティに詳しくない人にもわかるように噛み砕いて紹介していきたいと思います。

今回はそんなお話。

前置き:これまでの認証方法

ビヘイビアベース認証とはなんぞや?という話に入る前に、その特徴をよりよく理解するため、従来の認証について軽く触れていきたいと思います。

認証とは本人確認の手段です。

たとえばTwitterやInstagram、Facebook等のサービスを使うときにはIDとパスワードのペアで本人確認を行います。

スマホの場合、指紋認証やパスコード、パターンロックなど。これはみなさんおなじみですね。

さて、認証を行うための技術を認証技術と呼びます。認証技術には「何をもって本人だと判断するか」の観点から、3つの種類(認証方式)に分けることができます。

  • Know:知っているものベース
  • Have:持っているものベース
  • Be:本人そのものベース

それぞれ見ていきましょう。

知っているものベースの認証

1つ目は、本人しか知りえない情報を知っているのならそれは本人だとする考え方です。

たとえば、

  • パスワード
  • パスコード
  • 暗証番号
  • パターン
  • 秘密の質問(好きな映画は?など)

といった、誰もが知っているおなじみの認証方法がこれにあたります。「山?」「川!」といった合言葉もある意味これ。

メリットは、何といってもその手軽さ。覚えていさえすればいつでもどこでもログインできますし、変更も簡単です。

一方デメリットは、手軽なぶんバレたらオシマイという点。パスワードがバレて被害を被る例は枚挙に暇がありません。AmazonやGoogleからときどき「パスワードバレたかも」メールが届くのはこのせい。

企業の場合、シンプルな情報認証である分、きちんと運用するにはそれなりのルールが必要です。が、ルールを厳しくすると逆効果になる場合もあり、バランスが難しいところです。

シンプルな分、バレやすいし運用ルールが必須、というのが、知っているものベースの認証です。

持っているものベースの認証

2つ目は、本人しか持ちえない物を持っているのであれば本人だとする考え方です。

たとえば、

  • IDカード
  • カードキー
  • セキュリティトークン
  • USBキー

といった、ビジネスマンが首からさげているものは大体これ。水戸黄門の「この印籠が目に入らんか!」はまさに好例ですね。

この方法のメリットは、モノがきちんと管理されている限りは安全という点。「これはなくすなよ」と言われるとちゃんと管理しなきゃと思うもの。ビジネスマンが首から下げるのはこれが理由です。

デメリットはすばり、盗難・紛失に弱い点です。なくした瞬間に大問題。家の鍵やクレジットカードを無くした時のことを思い浮かべてもらえればよいかと思います。

企業の場合、物理的なモノの管理をきちんとする必要があるため、それなりに運用にコストがかかります。 貸し借りをどう禁止するのかは頭が痛いテーマです。

また、「紛失」や「漏洩」というキーワードに過剰反応する日本人の国民性からして、管理するものが多いと紛失→バッシングのリスクが増えるのも事実。

使う側が管理の必要性を直観的に理解できる一方で、使わせる側は気をもむというのが持っているものベースの認証、と言えます。

本人そのものベースの認証

3つ目は、個人認証をするなら本人そのものの特性を使えばいいじゃんという考え方。いわゆる生体認証です。

  • 虹彩認証(目をスキャン)
  • 静脈認証(手のひらをスキャン)
  • 指紋認証(指を当てる)
  • 声紋認証(読み上げる)
  • 顔認証(いわゆる顔パス。USJで導入済

メリットは、その認証精度の高さ。虹彩、静脈、指紋、声紋など、この世に同じものが2つとない特徴をキーとするためです。国家最高機密を扱うスパイものの映画でよく出てくるのも頷けますね。(ただし顔認証はスキャン対象の母数を増やすと精度が落ちる、という欠点が最近明らかになりました)

一方、デメリットはコストの高さ。生体情報を読み取る機器の値段はカードリーダーやキーボードなどと比較するとまだまだ高止まりしています。(ただしカメラのみ用いる顔認証は例外)

また、それら機器は認証以外の用途への使い回しが難しいため、「認証だけのために高い機器を買うのもねえ・・・」と投資を渋る企業さんも多いのが実情です。

加えて、生体情報は非常にセンシティブなため厳重な管理が必要です。そのぶん管理コストがかさみ、漏洩リスクも高くなります。また「指紋採取 違法」のGoogle検索結果からわかる通り、生体情報はユーザの心理面からも導入ハードルが高くなりがち。

まとめると,高精度なぶんコストもリスクも高いというのが本人そのものベースの認証、ということです。

ビヘイビアベース認証とは

さて、本題です。

ビヘイビアベース認証(Behavior Based Authentication)は、上で紹介した認証の考え方とは少し視点が異なります。

ビヘイビアベース認証では本人の特徴を備えたふるまいをするのであればそれは本人だという考え方をします。

極端に言えば、プロ級のコマネチを決めた人はビートたけしであるという感じ。

ふるまいの特徴で個人を識別するという性質は、鑑識で行う筆跡鑑定とよく似ていますね。

※本来の分類としては生体認証の「行動的特徴」に属するものですが、しくみや運用その他特性が大きく異なるため、本記事では切り出しています。

ビヘイビアベース認証のしくみ

ビヘイビアベース認証は、パソコンやスマホに対する入力の癖から「本人らしさ」を判定します。

具体的な方法をざっくり説明すると

  1. 学習する
    1. 本人に何度か入力してもらう
    2. その結果から「癖」を学習する
  2. 認証する
    1. その「癖」に沿った入力であればOK
    2. そうでなければNG

という流れ。

入力の種類や方法は実に様々です。理論上は「入力インターフェース」から得られるデータであればなんでも利用可能です。

たとえば、

  • マウス:ポインタ軌跡やダブルクリックの速度など
  • キーボード:タイピングのリズムやミスタイプの傾向など
  • タッチスクリーン:フリックやスワイプの開始終了位置、軌跡、速度、圧力など
  • 各種センサ:スマホの角度や加速度など

といったものが考えられます。(何をどう組み合わせて用いるかはアルゴリズムやソリューションによります。)

具体的に何が変わるのか

ビヘイビアベース認証の利用方法は多岐にわたります。ここでは例として、Androidスマホのパターンロックを見てみましょう。

パターンロックでは、点をなぞる順番(パターン)をパスコードがわりに使います。つまり、正しい順番でたどりさえすれば誰でもアンロックできることになります。

9つの点 Android スマホ ロック画面 緊急通報

さて、パターンロックにビヘイビアベース認証を組み合わせて使ってみましょう。

同じパターンでも・・・

Android スマホ ロック画面 パターン入力 渦

人によって、タッチの軌跡に微妙な差(=癖)があります。

Android スマホ たどる タッチ パターン

いつもスマホを使っている本人の癖に近しい場合のみ、スマホをアンロックできる、というわけです。

Android スマホ たどる パターン OK NG 成功 失敗


具体的な使われ方はこの他にもたくさんあると思います。リスクベース認証(いつもと異なるふるまいを検知したら追加で認証を求める方式)の1つのインプットに使う、というケースもあるかもしれません。

メリットとデメリットは?

ビヘイビアベース認証の良い点は、他の認証方法の弱点を克服していることです。

メリット

  • バレにくく、真似されにくい:本人も気づかないような癖で認証するため →「知っているものベース」の弱点を克服
  • 盗難・紛失の心配がない:モノを管理が不要なため →「持っているものベース」の弱点を克服
  • コストが安い:特殊な機器が不要なため →「本人そのものベース」の弱点を克服

とっても良い認証方式に見えますが、もちろん、デメリットもあります。

デメリット

  • 入力が面倒:癖の学習のためまとまった分量の入力が必要
  • 電池の消耗:癖の学習にセンサーを用いる場合、常に起動させておく必要がある

先ほど紹介したパターンロックの例は、ある程度のスワイプ量を自然に確保できる(ユーザも面倒さを感じにくい)ため、電池の減りはさておき最もフィットする例だと言うことができます。

なぜ今あらためてビヘイビアベース認証なのか

実は、ビヘイビアベース認証のアイデア自体は2000年代には存在していました。参考スライド

また、キーボード入力の癖に特化したビヘイビアベース認証は2010年にはすでに製品化されています。(Live Demo - BehavioSec

では、なぜビヘイビアベース認証は最近注目されているのか?まずは技術トレンドの観点から、その理由を紐解いていきたいと思います。

プラットフォームビジネスと脱ファイヤーウォール

http://livedoor.blogimg.jp/shobrighton/imgs/d/9/d96ae768.png

画像出典:アニメ「進撃の巨人」第2話 感想 :ラジオのノイズ 知らない言葉

認証技術は、大きな括りでいうとセキュリティの一部です。

そのセキュリティの世界で、1つの大きなムーブメントが起きています。

脱ファイヤーウォールです。

ファイヤーウォールとは、漫画「進撃の巨人」に出てくるウォール・マリアやウォール・シーナのようなもの。特定の場所(IPアドレス)を外部から区切ることでその内側を安全な場所にしよう、というネットワークのしくみです。

これまで企業は、ファイヤーウォールの内側にシステムやデータを配置することで外部のハッカー(壁外の巨人)からその身を守り、安全を確保してきました。そして外部とのやりとりが必要な場合のみ通信(調査兵団を派遣)を行えば済みました。企業内のシステムやデータ(壁内の武器や資源)のみで十分に戦えたからです。

しかし、それだけでは競争に勝てない時代がやってきました。「プラットフォームビジネスの時代」の到来です。

詳細はこちらの記事が詳しいですが、要は企業と企業が互いに提供するサービスを密に利用することが勝つために不可欠になってきたよ、ということ。壁外の拠点と密に連携し、お互いの武器や物資を相互利用しながら巨人と戦わなければ生き残れなくなったのです。

さて、ここで問題になるのがです。壁に設けられた門では、巨人が入ってこないように、そして壁の中の重要な資産や情報が外に漏れないように、通るたびに検閲を入れていました。

しかし、壁外拠点とのやり取りの量と頻度が爆発的に増えるプラットフォームビジネスの時代においては、門の検閲作業がボトルネックとなってしまいます。検閲が遅れることで思うように物事を進められなくなり、もたついているうちに競合他社に先を越されてしまう。対策として、門の拡張や検閲要員の増員(ファイヤーウォールの増強)を行うことも可能ですが、いずれは限界がきます。

そこで、そもそも壁を取り払おう=脱ファイヤーウォールというアイデアが出てきました。

壁を取り払うことで門というボトルネックを回避する。そのかわり、

  • 武器や物資の生産・保管拠点の守りを強固にする(マイクロサービス化に伴うサーバやデータのセキュリティ強化)
  • 拠点訪問者の本人確認をよりみっちり行うする(認証の強化

という2つの施策をもって、これまで壁が担ってきた守備力を担保しようとするものです。(ウォール教は絶対に反対しそうですね)

求められる、より強い認証技術

さて、認証の強化が必要なことはわかりました。ではどうやって強化するのか?

認証というと、大多数のシステムやサービスはIDとパスワードを利用しています。「前置き」で述べたように、非常に手軽なため導入がカンタンだからです。

しかし、最近になって「パスワードがバレたらオシマイ」というデメリットが目立ち始めました。パスワードが解析されて、アカウントを乗っ取られる被害が多発しているのです。レイバンのサングラス、と言えばピンとくる方も多いかと思います。

そこで取りうる施策は大きく3つです。

  • パスワードの厳格な管理運用(パスワードポリシー)
  • 複数の認証方式を組み合わせる(多要素認証)
  • よりよい認証方式を採用する(脱パスワード)

旧来の方法:パスワードポリシー

ログイン ログオン プロンプト ユーザ名 パスワード

1つ目は、パスワードをバレにくくするための施策です。

パスワードがバレる主な理由は

といったもの。これらを回避するためのルールを課すのが、パスワードポリシーです。

パスワードポリシーの例

  • パスワードに対するルール
    • 長さは10文字以上
    • 大文字、小文字、数字、記号を含む
    • 42日に1度は必ず変更
    • 過去6回分のパスワードは再利用不可
  • ログイン試行に対するルール
    • パスワード入力のたびに3秒待たせる
    • 6回パスワードを間違えたら30分ログインできない
    • 20回パスワードを間違えたらアカウントを凍結する

しかしこのパスワードポリシー、厳格にすればするほどユーザビリティが損なわれます。すると

  • パスワードを忘れないよう付箋に書いてディスプレイに貼る
  • 同じパスワードを複数のサービスで使い回す

というような危険なことを始めるユーザも出てしまい本末転倒になってしまいます。

また、最近はパスワード定期変更に対する懐疑論が目立ち始めたことから、パスワードポリシーの効果が限定的であることは皆気づき始めているのです。

2016/06/28追記:米国のセキュリティ指針にて、パスワードの定期変更や秘密の質問の効果が明確に否定されました

現在の主流:多要素認証

RSA セキュリティトークン パソコン PC

2つ目は、パスワードによる認証と他の認証方法を組み合わせるもの。英語の名称「Multi Factor Authentication」を省略して「MFA」とも呼ばれます。

パスワードによる認証のデメリットは認めた上で、それをカバーする他の認証方法を組み合わせることで認証を強化します。

わかりやすい例で言うと、GoogleAppleMicrosoftの2段階認証、Twitterのログイン認証、Facebookのアカウント認証などがそれにあたります。携帯電話番号を登録してくれ、というメールが届くのはだいたいこれ。

ここで問題になるのは、どの認証方式と組み合わせるか?ということ。

パスワードは「知っているものベース」の認証でした。そこにさらに別の「知っているものベース」の認証を組み合わせても、効果はおそらく限定的でしょう。(2つ目のパスワードを使わせる?)

ならば「持っているものベース」や「本人そのものベース」を組み合わせる方が効果が高そうですよね。しかし、前述のように「本人そのものベース」(生体認証)はコストがかかるため、現在は「持っているものベース」との組み合わせが主流です。

各種アカウントに携帯電話番号を登録させるのは、スマホは本人が持ち歩いているという前提のため、「持っているものベース」との組み合わせと言えます。

他要素と呼ぶからには3つでも4つでも組み合わせることは可能です。しかし増やすほどユーザビリティは損なわれるため、多くのサービスは2つ(2段階認証)で留めているようです。

ちなみに、2010年に公開されたアンジェリーナ・ジョリー主演のスパイ映画「ソルト」では、アメリカ大統領が核ミサイルの発射スイッチを押す前に、虹彩、声紋、指紋、静脈、パスワード等、あらゆる認証方式を組み合わせるシーンがありましたね。

さらにその次:脱パスワード

遠く 見つめる 女性 デジタル バイナリ セキュリティ

さて、3つ目はさらにその先を行きます。そもそもパスワードを使わない脱パスワードです。

www.lifehacker.jp

とどのつまり、「持っているものベース」もしくは「本人そのものベース」の認証方式、もしくはその組み合わせを使っていきましょう、ということなのですが、先に述べたとおり方式によってメリットとデメリットがあるため、決定打に欠ける状態が続いていました。

時代の先ゆくAppleがiPhoneへ指紋認証を搭載し、それに続きハイエンドのAndroidスマホにも指紋認証が搭載され始めたものの、

  • ハイエンドスマホは高価なため誰もが使えるわけではない
  • (企業の場合)既存のID管理のしくみとの統合に難点がある

という課題は依然残っていたのです。

2015年から注目され始めたビヘイビアベース認証

そんな中、2015年から一気に注目を集めたのがビヘイビアベース認証、スマホ向けのビヘイビアベース認証が登場したからです。

タッチスクリーンの操作、GPSや各種センサからのデータをもとにユーザの癖を分析・学習し、本人確認に利用するものです。

注目を浴びた理由は、前述で述べたメリット、つまり他の認証方式の弱点をカバーできる特性をスマホでも享受できるから

様々なソリューションがお目見えしました。

そしてITに強い大手コンサルティングファームも、ビヘイビアベース認証の重要さを説き始めました。

Googleがビヘイビアベース認証へ投資する狙いは

そんな中、Googleも2015年にビヘイビアベース認証を扱う社内プロジェクト「Abaqus」を立ち上げます。(冒頭のニュースはその続報編です)

http://ggsoku.com/2015/05/google-project-abacus/

さて、なぜGoogleがビヘイビアベース認証に投資するのか、もしくは投資しなければならないのか。

よりよいセキュリティを提供する、という公明正大な理由以外に、ビジネス上の思惑はあるのか。

考えてみたところ、10億ドル市場よりさらに先ゆく思惑が見え隠れしてきました。

ここから先は完全に、ぼくの妄想です。

Android Payの制約

https://lh3.googleusercontent.com/ga69OwM-GgvoGADxuVOsErvkkYiufnxKooq2qJkYbVHB76cpgSPEI_r_CBfus0Abiw=w300-rw

画像出典:Android Pay - Google Play の Android アプリ

注目するのは、Googleの提供する決済サービスAndroid Payです。日本ではNFCという無線通信規格があまり広まっていないため普及はしていませんが、海外ではそこそこ使われています。

Android Payはおサイフケータイとは異なり、物理的なセキュリティチップを使わずソフトウェア的に支払いを処理します。その特性から、下記のような制約があります。

Android Payの利用ではパターンロックまたはバイオメトリクス認証の設定が必要で、いったん端末ロックを解除してから支払い操作をする必要がある。

出典:Android Payが一般ユーザーでも利用可能に。日本での課題は対応端末と店舗の拡充(モバイル決済最前線 鈴木淳也) - Engadget Japanese

つまり、バイオメトリクス認証(=指紋などによる生体認証)を搭載されていないAndroidスマホの場合、パターンロックが最後の砦である、というわけです。

パターンロックの限界とビヘイビアベース認証の相補関係

しかし、パターンロックは認証としては非常に弱い部類に入ります。指定できるパターンの数は389,112通りしかなく、これは小文字アルファベット4文字の組み合わせの数(264=1,827,904通り)より少ない。これでは誰かが本人になりすまして支払ってしまう可能性があります

※ただしAndroidでは一定回数パターン入力を間違えるとGoogleアカウントのメールアドレスとパスワードによる解除が必要であり、FBIであってもそのクラックは困難ということです

さて、ここで前半で挙げたパターンロック+ビヘイビアベース認証の組み合わせは最高という話がもう一度登場します。

パターンロックは画面をスワイプします。試行回数を稼ぎやすく、かつある程度スワイプの形が定められるため、ビヘイビアベース認証を利用するのにはうってつけなのです。

また、ユーザビリティを失わないというのも魅力の1つ。ユーザは特に何も意識することなく、普段通りにロック画面をスワイプするだけ。特に追加の作業をすることなく、セキュリティレベルを高めることができるのです。

Googleのガバナンスの限界

一方、Googleは自社ブランドであるNexusシリーズ以外のAndroidスマホに対して強制力を持つことができません。

そのため、追加で何かしらの要素を加える際はOSレベル=ソフトウェアだけで実現可能な方法しか採用できない、という制約があります。

その意味においても、ソフトウェアだけで実現可能なビヘイビアベース認証は最適な選択肢だったわけです。

※2016/10/05追記:Googleがハードウェアをイチから作ったGoogle純正スマホGoogle Pixelが発表されました。

www.naenote.net

狙うは将来のマジョリティ?

ベトナム メコン 川 船

さて、ソフトウェア更新のみで認証強化が可能なメリットがもう一つあります。将来の決済総額のマジョリティである発展途上国にも展開可能という点です。

そもそも、先進国と発展途上国を消費者の決済規模という点で比較すると、

  • 今はリッチだがデフレと少子高齢化の進む先進国 → 決済総額は減少?
  • 今は貧乏だが人口増加とインフレ率が桁違いな発展途上国 → 決済総額は増加?

という予測が成り立ちます。発展途上国は決済市場としては魅力的なのです。(そのためAndroid Payのみならず他の金融企業も狙っているはず)

ここで、発展途上国のスマホ事情に目を向けます。

発展途上国の人々は、3000-5000円レンジの超廉価版スマホを使っています。中にはたった400円というツワモノも。指紋認証の搭載されたハイエンドなスマホはとても手が出せません。そして、そのほとんどがAndroidベースです。

そこに高級路線なiPhoneがつけ入るスキはありません。Androidの独壇場です。それだけGoogleにとって脅威が少ない市場だと言えます。(そもそもiPhoneのシェアが過半数なのは日本だけだったりしますけど)

一方、発展途上国の人々からすると認証の強化は喫緊の課題と言えます。犯罪率が高く、スマホが盗まれてパターンロックを解除された瞬間にAndroid Payで決済されてしまった、ということがカンタンに起こりえるからです。

さて、そんな環境にビヘイビアベース認証が展開されるとどうなるか。

  1. 認証が強化され、盗難・紛失対策になる
  2. Android Payが安心して利用できる環境が整う
  3. Android以外に参入してくる敵がいない
  4. Android Payの決済総額が増加してゆく
  5. Googleが潤う

といった風を吹けば桶屋が儲かる的な算段が立てられますね。

したがって、GoogleはAndroid Pay事業の将来の決済額のマジョリティを掴むためビヘイビアベース認証へ先行投資しているのではないか

という予測が成り立つものと思います。

決済はあらゆる経済活動で利用されるもの。そこを面でおさえられればビジネス基盤としては盤石。そういうところをGoogleも狙っているんでしょう。

今後の展望:2017年はビヘイビアベース認証元年

Googleは2016年末までに、ビヘイビアベース認証の技術を使った「本人っぽさ」のスコア(Trust Score)をアプリ開発者が利用できるAPIを公開するとしています。

これにより、Androidアプリに一気にビヘイビアベース認証が広まることになるでしょう。2017年はビヘイビアベース認証元年です。

ユーザから見ると、

  • 銀行系のアプリの認証方法がパスワードカードからビヘイビアベース認証になる
  • LINEやTwitterなど、支払い機能を持つアプリの一部でビヘイビアベース認証が使われる
  • Androidのパターンロックにビヘイビアベース認証が組み込まれる

といった変化が訪れる、かもしれません。

指紋認証を選んだApple陣営と、ビヘイビアベース認証で攻勢をかけるGoogle陣営。どちらが今後の覇権を握るのか、目が離せません。

まとめ:深堀りすると面白いセキュリティの世界

というわけで、ビヘイビアベース認証をネタにした技術トレンドとセキュリティのお話をお送りしました。

もし興味があれば情報セキュリティスペシャリスト(2017年に情報安全保護責任者へ移行)を受験してみてください。

今の世界でどれほどセキュリティが考えられているのか、垣間見ることができますよ。

www.naenote.net

今回は以上です。

スポンサーリンク