「行動的生体認証」って何だ

こんにちは。

koma　です。

社内のMTGで使用する資料作成中に、最新の認証方法を少し調べました。MTGでは使用しないのですが、せっかくなのでブログにします。

生体認証の種類

生体認証とは、人間の身体の一部を利用して本人認証を行う方法でいろいろな種類があります。

指紋
顔
音声（声紋）
静脈
虹彩
耳介（耳の穴の形）
DNA
行動

行動的生体認証

最後の「行動的生体認証」って何でしょうか。
耳慣れないですが、筆跡などがその代表例のようです。
確かに、とある人の行動を遠くから見たときに「（歩き方が）●●さんだ！」ってわかるときがあります。
以下引用します。

行動認証は、歩き方やスマートフォンの操作など、癖を分析することで本人を特定する方法です。
1つの特徴を真似ることは容易ですが、行動認証においては複数の行動的特徴を総合的に判断して本人かどうかを判断するため、比較的確実性の高い認証方法です。
日頃から認証対象者の行動パターンやデータを収集し、認証時にこれまでの行動パターンと現在の行動パターンを照らし合わせて、合否が判断されます。

え、なんか怖い。
デバイス側がユーザーの行動情報を直接集め、人が持つさまざまな行動の癖やパターンをもって判定するとあるので、収集した情報をどう管理するかも心配ではあります。
ちなみにどんな情報を収集するかというと、想像していたより微細な動きも対象になっていました。

カメラで撮影した画像
例）歩き方　手や足をどう動かすか
キーボード
例）キーを打つ速さの緩急、利用頻度の高いキー、打ち間違える文字や単語の傾向
マウス
例）カーソルを動かす速さや向き、平均移動距離、ボタンをクリックする速さ
スマホの傾き具合
例）スマホを操作する際にどれくらい傾けるか

また、以下のメリットのうちだと、利便性が損なわれない点が大きいと感じました。追加認証が結構手間だなと思う事も多いので。

模倣が難しくなりすましで認証を突破することが難しい
ログイン時のチェックだけでなく、ログイン～ログアウトまでの行動から本人かどうかのチェックができる
スマホアプリなど通常操作の特徴を収集するため、操作手順の変更などがなく利用者の負荷が少ない

なお、金融業界で活用されているようです。以下引用です。

英ナショナル・ウエストミンスター銀行（NatWest）など海外の金融機関の一部は行動的生体認証に関する実証実験を進めており、サービスへの実装例も登場している。日本ではみずほ銀行が2020年4月に、イスラエルのスタートアップ企業であるBioCatchの行動的生体認証技術を用いた金融詐欺防止に関する実証実験をSCSKと共同で開始した。米Mastercard傘下のカナダNuData Security やイスラエルSecuredTouchなども行動的生体認証サービスを提供している。

今までの追加認証の代わりに、行動認証を利用する時が来ているのかも。

参考資料・引用元