シームレスで安全なデジタル体験の推進に不可欠な認証
現在、オンラインでのやりとりの大半は、自身が本人であることを証明する必要があります。本人認証は、以下の3要素のうち、1つまたは複数の要素を提供することで行われます。
(1)パスワード、パスフレーズ、PINなど本人が知っている情報(知識情報)
(2)ソフトトークンやハードトークンなど本人が持っている情報(所持情報)
(3)指紋などの本人情報(生体情報)
本人認証はユーザー体験を促進する重要な役割を担っており、プライバシー、セキュリティ、収益に直接影響することを踏まえると、その未来について考えることは重要です。
パスワードは従来、本人であるかどうかを認証する最も一般的な手段でしたが、パスワードを定期的に記憶・更新する責任がユーザーにあるといった制約があります。セキュリティアナリストは、侵入時にアクセス権を取得または拡大する一般的な方法として、ユーザー名とパスワードの乗っ取りを挙げています。パスワードが犯罪者の手に渡らないことを保証するのはほぼ不可能です。パスワードが悪意ある手段で乗っ取られたかどうかを知るためには、企業による情報漏えいの公表に頼るしかないのです。
ショートメッセージサービス(SMS)、トークン、生体認証などの多要素認証の仕組みは、アカウントを保護するための改善策ですが、完全とは言えません。熟達したハッカーでなくても、テキストメッセージを乗っ取ることは可能です。ハードウェア認証機器は安全な認証方法ですが、高価で、かつ、置き忘れや維持が難しいという欠点もあります。
生体認証のような高度なメカニズムでは、誤認識が起こってしまうと、脆弱なコミュニティやマイノリティに、不公平な影響を与えてしまうかもしれません。生体情報の漏えいは、運転免許証やパスポートなど重要な法的文書の改ざんにとどまらない、重大な事件につながってしまう可能性もあります。このような制約を踏まえながら、本人認証の未来を考えてみましょう。
パスワードレス認証
現在のトレンドの1つに、パスワードを必要としない認証システム(パスワードレス認証)があります。一般的に、FIDO2、公開鍵/秘密鍵暗号方式、WebAuthNなどのプロトコルによって行われます。これらの暗号方式は、セキュリティカード、スマートフォン、スマートウォッチなど、人々がすでに使用・携帯しているデバイスのパスワードにとって代わるかもしれません。
自分のコンピュータ端末に近づき、顔、指紋、モバイル機器、スマートウォッチ、セキュリティカードなどの要素を2つ以上組み合わせて、瞬時にログインしている姿を想像してみてください。迅速で便利な本人認証は、万全なセキュリティを維持しながら、シームレスな体験を可能にします。パスワードには維持費がかかるため、組織のコスト削減につながることもメリットの1つです。
一方、組織は以下のことを考慮する必要があります。
- 適切なテクノロジーを選択することが重要であり、かつ、選択する際には組織のスケーラビリティやデバイスが盗難された場合の対処法を最優先に考える必要がある。
- パスワードからの脱却は革新的な変化となるため、トレーニングを実施し、人々に新しい認証方法の良さを実感してもらうことが重要となる。
ユーザーとエンティティの行動分析による認証
急速なデジタル化や顧客からの期待の高まり、規制要件の高度化により、多くの組織でバイオメトリクスの採用が進んでいます。現在では、生体認証を活用し、電子商取引などのネット取引をシームレスに行うことが一般的になっています。
今後に目を向けると、ユーザーやエンティティの行動を分析し、ユーザーにとってストレスの少ない方法で認証を行う仕組みが増えていくはずです。これらの認証システムは、昨今のデジタル環境で頻発している詐欺やなりすましなどのリスクにも対応できるでしょう。
多くの場合、シームレスな生体認証は、ユーザーが気付かないうちに行われます。機械学習などの技術によって、その人に特徴的な行動パターン(キーの打ち方やデバイス操作など)を「標準状態」として識別しながら、ユーザーの標準的な行動のプロファイルを作成しているのです。アクセス場所が時差と一致しないなど、疑わしい事象が発生した場合には、より強力な認証方法へとステップアップしていく仕組みになっています。
バイオメトリクス認証は、利用者からほとんど見えない形で安全性を担保しています、詐欺対策となるほか、プライバシーを考慮し、常にデータを保護することも重要です。
パスワードは管理が面倒で悪用されやすいため、消滅していくことは間違いありません。本稿で紹介した、信頼性と利便性に勝るシームレスな認証方法へと移行するには、発想の転換が必要です。
そして、今がまさにそのチャンスです。ユーザーはすでに、個人のモバイル機器に指紋や顔認識などの生体認証機能が搭載されていることに慣れています。企業は顧客や従業員と安全かつ便利にやりとりするための新しい方法を積極的に取り入れてくべきです。
シームレスで安全なデジタル体験はもうすぐそこまで来ています。
本レポートは、KPMGインターナショナルが、2022年6月に発表した「The future of authentication is here」を翻訳したものです。翻訳と英語原文間に齟齬がある場合には、当該英語原文が優先するものとします。
原文はこちらから(英語)
The future of authentication is here
関連サービス
Powered Enterprise Cyber
デジタル化を推進する上でサイバーセキュリティは必要不可欠であり、特にアイデンティティ&アクセス管理(IAM)、セキュリティインシデントレスポンス、脆弱性管理の整備は非常に重要な要素となっています。
KPMGは、独自のソリューションであるPowered Enterprise Cyberを活用し、デジタル化を推進するためのさまざまな課題解決を支援します。
サービスの詳細はこちら
