2019年の認証事情

2018年ではデータ侵害による被害の81%は二要素認証を使用しない脆弱なID・パスワードに対して行われており、パスワードよりも強固な生体認証、行動分析、ハード・ソフトセキュリティトークンなどの方向性に進んでいて、パスワードレスな時代に突入するかもしれない。

また、金融機関などの機密情報がwebや端末からのアクセスが年々増える傾向であり。イギリスの金融機関の統計を見ると、2007年から2018年の間で日常的にオンラインバンキングサービスを使用している個人の割合が40％程上昇しています。オンラインサービスへの認証の重要度が日に日に増しているというわけで今注目されている認証を調べてみました。

リスクベース認証

最近導入が進んでいる認証方式でユーザのアクセス履歴や利用パターンをもとに通常行動とは乖離したアクセスを検出し、追加認証や一時的にログインを制限したりなどすることができます。「試用端末」「利用した時間帯」「アクセス元地域」「利用プロバイダ」など細かなデータをもとに通常利用のパターンといかにかけ離れているかの確認をします。

第三者にIDやパスワードといった認証情報が渡ってしまった場合、正規のユーザとなりすましユーザの区別はそれだけでは判断できない為、システムは成りすましユーザの悪用を止めることができません。リスクベース認証を併用することにより、成りすましユーザを特定し不正アクセスを防ぐことができるようになります。

最近よくみるGeolocationもリスクベース認証で扱うデータとして使われています。ユーザのIPアドレスから位置情報を判定し、正規ユーザがどこからアクセスしているかという情報をあらかじめ記録しておくことで、「不正アクセスのリスクが高い」を通常時とは別で大きな乖離があった場合や、現実的にありえない位置情報の変化があった場合などに判断することができます。

リスクベース認証はシステムが「高リスク」と判断されない限り、ユーザ側の認証に負担をかけずにセキュリティを高めることができます。また、リスクベース認証は既存のパスワード認証等の補強として役に立つとこも評価される部分でしょう。

生体認証

生体認証はシステムで生涯にわたって変化しない人体特性を保持してその情報の照合で認証を行う。使われる人体特性としては指紋、虹彩、声、顔、指静脈などが使われる。

現状ソフトウェア、ハードウェア上の縛りが多い上、生体認証は生涯不変の人体が対象という特性上色々と課題があります。それらの課題がクリアし生体認証は現実の自分とシステムの認証を紐づけることさえできればパスワード忘れなどもなくなり手ぶらで認証ができる為、利便性および安全性は飛躍的に高まるでしょう。

現状はもう生体認証のマーケットは$168億程の市場価値がありMarketsandMarketsによると現状年CAGR（平均成長率）が20%ほどあり、MarketsandMarketsの予想によると2019年のおわりには$201.6億を超えると予想されている。

認証には3要素ありSomething You Know(知識情報)、Something You Have(所持情報）、Something You Are(生体情報)。知識情報に頼るIDやパスワード、秘密の質問などは今後ユーザビリティ、セキュリティ観点からして徐々に使われなくなると予想される、逆に今後は生体情報と所持情報が主流な認証としてシフトしていく流れになるのではないかと思います。

参考
https://solutionsreview.com/identity-management/2019-future-of-password-security-mfa/
https://www.statista.com/statistics/286273/internet-banking-penetration-in-great-britain/
https://www.marketsandmarkets.com/PressReleases/biometric-technologies.asp