東京大学、ID・パスワードに代わる「ライフスタイル認証」の実証実験

東京大学 大学院情報理工学系研究科 ソーシャルICT研究センターは、IDとパスワードを必要としない次世代認証技術「ライフスタイル認証」の実証実験を実施している。

本稿では、1月27日～29日にかけて行われる東京都の商業施設「カレッタ汐留」内におけるデモンストレーションイベントの記者説明会の様子をお届けする。

実証実験が行われるのは、同センターが開発している「ライフスタイル認証」。既存のパスワード・IDであれば文字列の入力、生体認証であれば指紋の読み取りなど、「認証のための動作」をすることなく本人を認証する手法だ。

認証動作なしで個人の認証を行うために、IoT技術を活用。昨今普及がさらに進むスマートフォンや各種ウェアラブル端末などから得られる複数のデータを参照し、本人性や行動を機械学習で解析する。

利用するデータは、電波(Wi-Fi)、IPアドレス、GPS情報、検索履歴など。同実証実験は2017年1月～3月にかけて、都内の商業施設(カレッタ汐留、東京ドーム)や東京大学におけるイベントのほか、および協力企業の展開する既存のスマートフォン向け商用アプリ(小学館「マンガワン」、凸版印刷「Shufoo!」)と連携する形にて実施。実験規模は5万人を予定している。

IDとパスワードは「限界」に来ている

東京大学 ソーシャルICT研究センター　学術支援専門職員 小林良輔氏は、現在最も多く使われている認証方式であるIDとパスワードについて、「Webサービスが普及し広がるに従って、限界を迎えつつある」と発言した。

かねてより懸念が示されているが、パスワードは記憶に頼るため使い回しの問題が解決せず、一度パスワードを盗まれると芋づる式に被害が拡大する危険がある。加えて、指紋による生体認証もピースサインの写真から情報を盗用される恐れが指摘されたことを挙げ、単一手段による認証の危険を回避するための新技術が「ライフスタイル認証」であると語った。

ライフスタイル認証の採用によって、ユーザビリティの向上はもとより、ユーザリテラシーによらない安全な認証の実現、単一の参照データにセキュリティホールが発生したとしても、別のデータを使って運用可能な柔軟性といったメリットが得られるという。

だが、スマートフォンで行う購買行動や検索行為を個人と結びつけ認証に用いるにあたって、気になるのがプライバシー保護の観点。ビッグデータ活用にあたっては匿名加工する情報をそのまま扱うことになるためだ。

小島氏は、「利用者の同意を明確に得ることが大切だと思っています」と明言し、「現在のWebストアやアプリに関しても、個人情報の取り扱いについてユーザーの同意を取得するのが前提ですが、一般的には長い規約と小さいチェックボックスのみです。実証実験に使っているアプリでは、同意を取得する情報を区切ってチェックボックスをつけています。使われる情報や使い道をしっかりと担保していきたい」と語った。

行動パターンを反映した「占い」

カレッタ汐留で提供されるのは、来場者が自分のスマートフォンを使って体感するエンターテインメントコンテンツ。スマートフォンに実証実験用のアプリをダウンロードした後、カレッタ汐留B2Fに設置された「鏡」の前に立つと、端末と鏡がBluetooth経由で通信し、体験者によって異なるメッセージが映し出される。アプリ側の設定で「参加会場」と「自身の星座」を設定してからでないと動作しないので注意したい。今後、この実証実験で得られたデータについては、シンポジウムで解析結果を発表していく予定ということだ。