ブログ記事

パスワードに代わる脳波認証とは?

2018/04/14

 

(画像は写真ACより)

パスワード認証は危険

現在インターネット上には様々なサービスが提供されており、私たちの生活にとって不可欠なインフラになりつつありますが、サイバー攻撃等の危険があり安全性が担保されているとはいえません。

(出典:IPA、情報セキュリティ10大脅威2018、2018年3月30日)

独立行政法人情報処理推進機構(IPA)は、ウイルス感染やフィッシング詐欺により、インターネットバンキングやクレジットカードの認証情報がサイバー攻撃により窃取され、不正送金や不正利用が行われている、また新たに仮想通貨を狙った攻撃が確認されている、と指摘しています。

インターネットサービスでは多くの場合、IDとパスワードでユーザー認証を行っていますが、テキスト入力型認証だけでは安全な本人確認することが困難な状況になりました。

最も一般的な対応として、ID・パスワードとは別に、ワンタイムパスワード・電話確認・メッセージ・ICカード等を用いてユーザーを確認する多要素認証が使われています。

しかし、一般ユーザーにとっては、テキストを用いたパスワード認証は危険であるとともに、たとえSSO(シングルサインオン)システムを利用したとしても、利便性が損なわれます。

そこで、生体(バイオメトリクス)認証が使用されるようになりました。

現在では、生体認証システムが安価になり、スマートフォンやノートパソコンにも導入されています。

従来の生体認証の問題点

生体認証は、ユーザー個々人の生体的特徴を利用するため、パスワード認証と比べセキュリティと利便性が高い認証方法です。

生体認証においては、センサーによる生体データから抽出した特徴データと、登録されている特徴データと比較して類似度を数値化したスコアを算出し、本人確認を行います。

指紋認証、静脈認証、虹彩認証、網膜認証、顔認証、声紋認証等が使われています。

生体認証は、識別には有効な方法ですが、独自の欠陥があります。

けがや病気、成長等によるユーザーの身体的変化に伴い、誤認率が高まるため、再登録する必要があります。

様々な分野における技術革新により、例えば高解像度の写真から高精度3Dプリンターを用いて、指紋・静脈・虹彩・顔等を、シリコーン・紙・樹脂・ガラス等に複製することができます。

悪意の第3者がレプリカを作成または手に入れた場合、不正アクセスに悪用されるだけでなく、本人は2度と同じ生体情報を使用できなくなります。

また、生体的特徴は多くの場合、変更できません。したがって、生体的特徴のデータが窃取されると、認証情報の変更や再登録が非常に困難になります。

そこで最近注目を集めているのが、脳波による認証です。

脳波認証とは?

(画像はPixabayより)

脳波とは、脳内の神経細胞間で行われる情報伝達、つまり脳活動の結果発生する微弱な電気信号のことです。脳波は、他のいろいろな信号(ノイズ)と一緒に測定されるため、ノイズ成分を除去し脳波のみを取り出す必要があります。

脳波は、個人によって異なる特徴を示すことが明らかになっています。

脳波の測定には、非侵襲的に頭皮上の電極と基準電極間の電位差を測定するEEG、血流量を計測するfMRI、近赤外光により血中ヘモグロビン濃度を計測するNIRS等が使われます。

現在一般的には、安全かつ容易に利用でき比較的低価格なEEGのヘッドセットやイヤホン型が利用されています。

脳波がユーザー認証で有望とされる理由は、個人固有の特徴を持ち、変更可能であると考えられるからです。

2016年4月ニューヨーク州立大学ビンガムトン校の研究グループは、脳波を使って100%の精度で個人認証できる技術を開発した、と発表しました。

実験では、50人の被験者にヘッドセットを装着し、ピザ・ボート・アンハサウエイ等多岐にわたる500枚の画像を見せ、その脳波を測定しました。

事象関連電位(ERP)に着目したところ、各画像に対して各個人が異なる固有の波形を示し、100%の精度で識別できた、とのことです。

また、指紋や網膜等他の生体認証とは異なり、脳波による生体認証は取消・変更可能で、悪意ある手段によって盗まれる可能性は極めて低いと思われます。

認証には、パスワード等の知識認証、ICカード等の所有物認証、個人固有の特徴による生体認証の3種類があります。

生体認証の1つと考えられる脳波認証ですが、3要素認証であるという説もあります。1つ目はヘッドセット等のEEG装置、2つ目は頭で考える知識(パス思考:Passthought)、3つ目は脳波パターンです。

脳波認証は、3種類の認証が同時に行われることも特徴で、ユーザーの利便性を損なわない、極めて優れたセキュリティ機能を持つことになります。

現在、脳波認証は、ユーザーの個人認証には使用されていません。その理由は、まだ標準的なアルゴリズムやプロトコルが確立されていない、データ処理量が不明、精度の高い安価なEEGデバイスがない、脳波をノイズの少なく効率よく取得できるデザインがない等です。

今後は、AIと協調した脳波認証が進展し、手軽に使えて安全性の高い脳波認証システムの実現が期待されます。

最新記事

カテゴリ

アーカイブ

%d人のブロガーが「いいね」をつけました。