普段通りに端末を使うだけで認証される「行動的生体認証技術」：パスワードも指紋も不要

利用者に特別な操作を要求せずにユーザー認証できる、行動的生体認証技術が注目されている。ユーザー体験とセキュリティが同時に向上する仕組みとは？

≫ 2020年08月14日 08時00分公開

[Karl Flinders，Computer Weekly]

　ナショナル・ウエストミンスター銀行（以下、NatWest）は、Visaと共同でパスワードに代わる行動的生体認証技術を開発している。行動的生体認証技術は、オンラインで買い物をする利用者の行動を監視し、キーを押す強さや長さといった操作方法を認識する。バックグラウンドで動作するため、利用者が余分な手順を実行する必要がない。

　行動的生体認証技術の開発は、欧州連合（EU）のSCA（Strong Customer Authentication）規制に準拠する取り組みの一つ。SCAは顧客認証に2つの方式を提供することを銀行に求める規制で、2021年に施行される予定だ。

　EUの決済サービス指令第2版（PSD2：Payment Services Directive 2）に盛り込まれるこの規制は、30ユーロ（約3600円）を超える全てのオンライン決済で決済者（支払者）に2つの認証方式を要求することが予定されている。認証方式にはパスワード、指紋などの生体認証、個人を特定できる電話番号などがある。

　決済を処理する企業は2021年9月14日までにこの規制に準拠する必要がある。なお、本来は2019年9月までだったが金融行動監視機構（FCA：Financial Conduct Authority）が延期したため2年の猶予が与えられた。

　KuppingerCole Analystsでアナリストを務めるワーウィック・アシュフォード氏は次のように話す。「利用者が端末を操作する方法を分析し、そのパターンを記録するのが行動的生体認証技術だ。パターン認識を利用してその行動が利用者の普段の行動と一致するかどうかを確認する」

　「パターンが一致しなければ、利用者は別の認証方式を要求される。これは多層防御の考え方で、層が多いほど異常が検出される機会が増える」

　デジタルサービスでは、できる限り抵抗が少なく、その上で高いセキュリティを備えていることが重要だとアシュフォード氏は補足する。「この方法により、利用者が想定する人物だという一定レベルの保証を提供しながら、何も利用者に求めないことで抵抗感が少なくなる」

　NatWestで戦略およびイノベーション部門のディレクターを務めるジョージナ・バルクリー氏は次のように話す。「当銀行は生体認証の調査を続け、顧客がよりシンプルかつ容易に決済できる生体認証の利用方法を模索している。行動的生体認証技術のパイロット版の成功は、セキュリティの優先順位を下げずに顧客エクスペリエンスを向上させる画期的な方法を開発するという継続的な取り組みの成果を示している」

　Visaで英国およびアイルランド地区のマネージングディレクターを務めるジェニ・マンディ氏によると、決済を処理する企業は行動的生体認証を既に配備しているという。「現在では、規制機関とVisaなどの業界パートナーとの取り組みを受け、セキュリティの第2層としてワンタイムパスワードと共に使われることが認められている」

　Visaは自社が保有する「Visa Consumer Authentication Service」を通じて、クライアントに行動的生体認証技術の商用利用を提供する。

TechTargetジャパントップセキュリティ