「パス思考」認証の可能性--脳波がパスワードに代わる日は来るか?

Michael Kassner (Special to TechRepublic) 翻訳校正: 石橋啓一郎

2015-04-20 06:30

 多くのセキュリティ専門家が、パスワードはなくすべきだと述べている。WIREDのシニアライターであるMat Honan氏も、心からこれに 賛成している。同氏はこのWIREDの記事の中で、「ハッカーはわずか1時間で私のデジタル人生のすべてを破壊した」と書いている。「どれだけ複雑でも、どれだけ似たものがなくても、パスワードではもはや私たちを守ることはできない」(Honan氏)

 Honan氏の意見に反対する者はあまりいないだろうが、あらゆるところで使われているパスワードを、何に置き換えればいいのだろうか。少し検索をかけてみれば、目まいがするほど多くの選択肢が見つかる。今はやりの選択は、何らかの種類の生体認証技術を使う製品を利用することだろう。この方法の利点は、ユーザーが長くて複雑なパスワードを覚えておく必要がないということだ。ただ、既存の生体情報スキャナは1要素認証であるため、この方法が多要素認証の代わりになるほど安全かどうかについて、専門家は疑問を呈している。

なぜ生体情報と多要素認証の両方を使わないのか

 多要素認証は単純でも、コストがかからないわけでもないため、多要素認証を売りにしている認証システムは多くない。もう1つの問題は、多要素認証はユーザーにやさしくないということだ。その理由を説明する前に、まず多要素認証を定義しておく必要があるだろう。

 正式には、多要素認証であるためには、認証を受けようとするユーザーは次のうち2つのカテゴリの検証要素を提示する必要がある。

  • 知識:そのユーザーしか知らない情報。例えばパスワード。
  • 所有物:そのユーザーしか持たないもの。例えばATMカード。
  • 生体情報:そのユーザーしか持たない特徴。

 簡単に言えば、認証に用いる要素が多いほど、偽の情報を使ってアクセスを獲得するのは難しくなる。英語版Wikipediaでは、「独立した要素が多いほど、その正体を証明する事実を持つ者が、別の領域で実際にその正体を持っている者である可能性が高いことを示していることから、要素の数と独立性が重要となる」と説明されている。

 ユーザーが1要素認証でさえ煩わしいと感じていることを考慮すれば、要素を増やせば増やすほど、ユーザーの不安は増すだろう。例えば、一般的な2要素認証には、パスワードに加え、RSAの「SecurID」などのタイムスタンプトークンを使用する。

脳波を使ったパス思考認証

 もし、本質的に多要素認証の性質を持っている生体認証技術があればどうだろうか。それで問題は解決だ。実は、まさしくそれを目指している研究がある。

 筆者は最近、カリフォルニア大学バークレー校情報大学院のJohn Chuang氏と話をした。Chuang氏とカリフォルニア大学バークレー校のThomas Maillart氏、カーネギーメロン大学のBenjamin Johnson氏は、過去の研究をベースとして、一般消費者向けの無線ヘッドセットと、脳波(EEG)センサを搭載したウェアラブルデバイスで収集された脳波信号(つまりパスワードならぬパス思考)を使って、コンピュータシステムの認証を行う方法を考案した。同氏らの論文「My Thoughts Are Not Your Thoughts」には、「この可能性が興味深いのは、脳波ベースの認証は、もともと持っている性質として2要素認証の条件に当てはまることだ」とある。

 「パス思考が2要素認証とみなせるのは、パス思考には知識要素(ユーザーが選んだ精神的な思考、これはユーザーだけが知っている秘密にあたる)と、生体情報要素(EEG信号は脳から受信される)の両方が含まれているためだ」とChuang氏は説明している。

提供:Muse
脳センシングヘッドバンドMuse
提供:Muse

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

  5. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]