「本人確認」(Identity Verification)と「認証」(Authentication)の違いとは? 顔認識の基礎知識:“顔パス認証”のリスクと軽減策【前編】
デジタル世界で身元を確認する手段として、企業は顔認識技術に目を向けている。そのメリットや課題を検証する上で、知っておきたい基本的な知識を整理する。
モバイルデバイスのロック解除、インターネットバンキングや公共サービスの利用時認証、空港での本人確認など、ユーザー認証や本人確認の手段として「顔認識」技術の利用が広がっている。現在の形態での認証や身元確認が、デジタル世界で利用できるID(以下、デジタルID)として機能していないためだ。
物理世界でわれわれは、顔や声といった特徴によって本能的に人を識別する。デジタル世界での本人確認では、悪意のある第三者が仕組みの不備を悪用し、詐欺目的で別人になりすますことがある。航空会社British Airlineなどの大手企業を含め、さまざまな企業でデータ流出が頻発している。
「本人確認」(Identity Verification)と「認証」(Authentication)は何が違うのか
攻撃者は盗んだ従業員情報や顧客情報といった個人情報を闇市場で売りさばく。詐欺グループはそうした闇市場を利用することで、大量の個人情報を簡単に入手できる。流出した個人情報を使って架空の人物の認証情報を作成し、詐欺行為に悪用する「合成ID詐欺」などの詐欺の横行は、デジタルIDにどれほどの欠陥があるかを物語る。
企業はデジタルIDを強化する目的で、エンドユーザーの「本人確認」(Identity Verification)や「認証」(Authentication)の強化の第一歩として顔認識技術に目を向けている。エンドユーザーの本人確認と認証においては、双方のプロセスを区別することが重要だ。
顔認識技術を使った本人確認と認証のプロセスを整理しよう。本人確認では、企業はまず顔認識技術によってエンドユーザーの顔を検出して分析。身分証明書の顔画像など、顔の特徴を示す登録済みの情報と照らし合わせることで、そのエンドユーザーが本当に本人なのかどうかを確認する。その後の認証では、本人確認によって正規ユーザーであると判断したエンドユーザーに対して、サービスの利用を許可する。プロセス内でパスワードや暗証番号といった追加の情報を要求することもある。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.