ウェアラブルなどの端末はついにパスワードを消滅させようとしている

モバイル

ReadWrite

連載 :

ReadWrite Japan

2015年3月26日(木)

ReadWrite Japan

Nymi Bandは心拍でユーザー認証を行っている。

パスワードには大きな問題がある。あまり安全ではなく、使うのを好まれていないという点だ。そのため現在では、認証プロセスから少しでも手間が省けるようなウェブ・ブラウザやパスワード・マネージャー、携帯電話などが現れている。

今日のテクノロジーはハードウェアやソフトウェアの面でその問題の解決策を追求している。iPhoneのTouch ID（指紋認証）はその最たる例だろう。だが、ウェアラブル端末のメーカーを含め、生体認証を普及させようとしている企業は多い。

このような端末の最終的な狙いは、エンドユーザーがパスワードに頼らなくても済むようにすることだ。それが成功すれば、近い将来、わが身一つで認証できるようになるだろう。それが本当にパスワードよりも安全なのかどうかはさておいて、だが。

パスワードとしての身体

アップルのTouch IDは正常に動作するが、なりすましの可能性もある。

その他の端末では既に生体認証が広く一般に導入されている。iPhoneやサムスンの最新携帯電話に搭載されている指紋検知のテクノロジーはPINコードやパスワードよりはるかに改善されている。だが、完璧ではない。十分な時間と労力をかければ、なりすましや詐欺によって指紋認証を破ることは可能だからだ（いずれにしても、われわれは行く先々に指紋を残してしまうのだ）。いったんアカウントへの不正アクセスが行われたら、指紋を変更することも不可能だ。

現状、そのようなテクノロジーは他のセキュリティ保護手段とともに二次的な保護レイヤーとして用いるのが最善だ。iPhone 6で指紋のなりすまし認証を行うには「スキル、忍耐、本人の指紋の正確なコピーが必要」だが不可能ではないと、モバイルセキュリティ会社Lookoutのマーク・ロジャースは述べている。

『マイノリティ・リポート』のような虹彩スキャナーも、消費者向け端末に搭載されるのはそう先のことではない。富士通は今月初めのMWCで、虹彩によって人物を判断できる、眼球検知端末のプロトタイプを発表し、ZTEは自社のスマートフォンに網膜スキャン技術を導入した。

マイクロソフトも来たるWindows 10のソフトウェアに向けて生体認証サポートをかなり強化している。Windows 10は今秋リリースされるが、このOSには Windows Helloという機能が付随し、Fast Identity Online（FIDO）2.0の仕様を原則的にサポートしている。これは、指紋認証や眼球スキャンでWindows のPCにログインする未来を予告している。

現在、ウェアラブルは生体認証をさらに受け入れる構えだ。過去1、2年、リストバンドやチェストストラップ、その他の端末がセンサーだらけだったのはご存じの通りだ。それらは急速な勢いで消費者市場に浸透している。健康やフィットネス・レベルを数値化するため、歩数、睡眠トラッキング、心拍数などが表示されるリストバンドを読者もお持ちのことだろう。そのようなセンサーから集められたデータは、ウェブサイトや銀行ATMで認証を行う別の手段にもなるかもしれない。

心拍のリズムは指紋と同じで個人に特有のものであり、指紋よりもはるかに複製が難しい。カナダの企業Bionymが販売する、Nymi Bandの核となるユニークなキーは、心拍リズムを利用したもので、現在イギリスの銀行と導入試験を行っている。もし成功すれば、顧客に安心感を与え、ログインの代替手段となる日が来るかもしれない。

今のところ、Nymi Bandはまだ発展途上の段階だ。だが、生体認証がATMやPC、スマートフォン、そしてドアの鍵で認証を行うのに利用されるかもしれないという、一つの方向性を示している。

スウェーデンのEpicenterというハイテクオフィスの入居者は、希望の場合、皮膚にRFID（無線自動識別）チップを埋め込むことができる。手術によって埋め込むというのは、ウェアラブル・テクノロジーの極限の姿なのかもしれない。だが、このチップをいったん埋め込んでしまえば、コピー機からコンピュータ・ワークステーションに至るまで、パスワードなしでどのエリアにも容易かつ安全にアクセスできるようになるだろう。

こういったプロジェクトは、どれも小規模で実験的なものではあるが、多数出現しており、パスワード・フリーな未来が近づいていることを示している。ユニークな生体認証機能が搭載された、低コストで常時つけっぱなしの電子機器が数多く出回ることにだろう。

最も脆弱なリセットリンク

これは自分の目だろうか？

しかし、こういったシステムの強度は、最も脆弱なリセットリンクと同程度である。パスワードで保護されているあらゆる端末やアプリやサイトには、パスワードを忘れた際にリセット手続きのためのリンクがメールで送られてくるように、ある種のセーフティネットが必要だ。だが、そのバックアップ手段も同様に安全でない限り、他の予防策はすべて無駄になってしまう。

心拍計バンドを川に落としてしまう可能性もある。誰かに生体認証データを奪われたり、すり替えられたりする可能性もだ。これは警鐘である。銀行口座と眼球とを関連づけるのはいい。だが、それが本当に自分の目である場合だけだ。犯罪者には虹彩を偽造することはできないが、リンクをリセットして、代わりに別の虹彩を利用できるようにすれば、セキュリティは崩壊する。

現在使われているセキュリティ保護手段と同様に、次世代の安全装置では、失敗すればすべてを失うような手段を取ることはできない。もちろん、裏口を開けたままにしておくようなマネもできない。主なアクセス方法に問題があるのなら、本人認証を行う方法を常にいくつか用意しておかなければならない。誕生日を確認するものから、認証済みの自宅住所にPINコードを郵送するものまで、あらゆることが現在行われている。

行動バイオメトリクスも一つの方法だ。たった一度限りの認証プロセスよりも、ユーザーの行動を現在進行で監視し、タイピングの特徴から携帯電話を持つ角度に至るまでを検知することが可能だ。

BehavioSecはこの分野でイノベーションを行っている企業の一つで、既存の手段のトップにもう一つセキュリティのレイヤーを追加している。それは同社の言葉で「非侵襲性の、摩擦のない認証プロセス」だという。BehavioSecは多層セキュリティと三本の柱について述べている。すなわち、ユーザーの持ちもの（携帯電話）、ユーザーが知っているもの（PINコード）、そしてユーザー自身（物理的メトリクス、あるいは行動メトリクス）である。同社の行動メトリクス検出システムが動作する様子はデモで見ることができる。

「われわれはセキュリティについての考え方を変えなければなりません―別の手段を携えた新たなテクノロジーを、既存のセキュリティ保護手段の代わりにすべきではないのです」とBehavioSec のCEO、ニール・コスティガンは私に語った。「事実上、すべての認証技術には不正アクセスされる可能性があるため、公共機関はリスクの高いトランザクションの認可を単一の管理のみに頼るのではなく、セキュリティへの階層化アプローチを採用するべきです」。

近い将来、Apple Watch からNymi Band まで、IDバッジとして動作するウェアラブルやその他の端末は増えるだろう。生体認証は多くを叶えると約束してくれる。だが、旧式の保護手段によってバックアップが行われれば、その約束は落とし穴となり、ユーザーを安全だと錯覚させることになるだろう。

画像提供：Bionym, Apple and Fujitsu

関連記事：