説明資料
汎用性とセキュリティ強度

Report No.010301

1.新しい個人認証技術の必要性

暗号化技術の高度化等、セキュリティを高める技術が急速に進化してきましたが、正規のユーザーには全ての情報が暗号の解かれた平文で提供されなければならないため、ユーザーに成りすますことのできた第3者の前では如何なる暗号技術も無力です。暗号鍵保管媒体の所有者としてアクセスしてきた人物が間違いなくその暗号鍵の正規のユーザーであるかどうかを、人手を介さず自動的にその場で瞬時に確認する個人認証技術の果たすべき役割は極めて重要です。

上記の認識の基に当社では新しいコンセプトの個人認証技術を開発しました。この本人認証技術は認知心理学理論に立脚したもので、後述の通り、記憶の一部・手がかりを保持している人間のおかす間違いと記憶の一部でも保持していればおかす筈のない間違いを峻別する本人・他人自動判定手法と「本人の頭脳に既に刻み込まれている“エピソード記憶”を本人情報としてコンピューターに登録し、それを個人認証の際に本人特定情報として照合する」という長期記憶活用手法を中核技術とするものです。


2.既存の本人認証技術

A 英数字系記憶照合:


暗証番号・パスワード・パスフレーズなどが知られています。脆弱性を指摘されながらも今もまだ主流です。ここでいう脆弱性とは、簡単に覚えられるものは簡単に盗用される、盗用され難いものは覚え難く忘れ易い、という解決困難なジレンマに加えて、アカウントの数が増えるとアカウントとその照合データの対応関係を覚えておくことが極めて困難になり、殆どの場合メモに頼らざるを得なくなることを言います。一部では「パスワードでは危険」とまで言われています。

パスワードの脆弱性を解決しようとするいくつかの方策は皮肉なことに逆にセキュリティ下げてしまうというパラドックスに陥ります。たとえば、パスワードの桁数を大きくするように要求すると机上の計算ではセキュリティは上がりますが、実際には多桁化が進めば進むほどメモに頼る人が増えて全体のセキュリティは下がってしまいます。モバイル環境では致命的なセキュリティ崩壊となります。アカウントの数が増えるとこの崩壊現象は更に顕著になります。

照合データの入力を数回間違えたところで入力続行を拒絶してしまうと、ユーザーは最も安易な(即ち盗用に弱い)データの登録をするか或いは(盗用に無力な)メモに頼ることになり、当初の意図とは逆にセキュリティが大きく低下するというパラドックスに陥ります。だからといって、無制限な試行錯誤を許すと今度は第3者によるまぐれ当たりを許す可能性が余りに高くなりすぎます。

B 所持物照合:

 鍵、ハードウエアトークン、ICカード(ワンタイムパスワード型も含む)等何らかの所持物を保有する人物をユーザーであるとみなす手法です。盗用に対しては無力なので多くの場合英数字系記憶照合をAND方式で併用します。AND方式パスワード併用では所持物を置忘れた場合に所持物単独方式同様に作業不能となりますが、だからといってAND方式を外すとセキュリティはパスワード単独方式のレベルを上回ることはありません、つまり所持物のセキュリティへの貢献度はゼロに帰してしまいます。ともあれ、記憶照合への依存を断ち切ることはできません。

C 生体照合:

顔貌、指紋、掌紋、声紋、DNA、血管・骨等皮膚下組織の紋様等静態的な肉体の特徴を計測するものと、署名や入力パターン等動的な特徴を計測するものがありますが、どちらの場合にも本人でありながら本人とは認めてもらえない本人拒否問題を原理的に抱えています。物理的セキュリティであれば許容できる分野もありますが、情報セキュリティでは大きな機会損失を意味する可能性もあり許容できるものではありません。解決策としてバックアップパスワードが使用されますが、これはパスワードと生体照合をOR方式で併用しているものなので全体のセキュリティがパスワード単独方式を上回ることはありません。更に悪いことには、本人拒否の場合以外には使用しない、つまり恐らくは何ヶ月も或いは何年も使用することはないだろうと予測されるパスワードとして登録できる忘れ難いデータは第3者にとって最も盗用し易いものとなる確率が極めて高いか或いはメモに頼らざるを得なくなります。結果は、脆弱性の指摘されているパスワード単独方式よりも更に低いセキュリティしか提供しないということになりかねません。(経済産業省情報政策局情報セキュリティ政策室が2002年4月12日付で警鐘を鳴らしています。)

記憶照合でも所持物照合でも本人でありながら、アクセスできない状況はあり得ます。しかしこの両者ではそれは忘却・置忘れであってユーザーの責任であることは明確ですが、生体照合の本人拒否ではそれがユーザーの責任ではないことのみが明確です。情報セキュリティにおいては生体照合のこの特異性は大きな欠陥です。

因みに、この本人拒否によるセキュリティ崩壊はマルチモーダル化しても解決することはないと考えられます。AND方式で組合せると本人拒否問題はより大きくなるだけであり、OR方式の組合せでは他人受容率の最も高い手法が全体のセキュリティを決定します。本人拒否をゼロにするまで許容度を広げれば、他人受容率は許容できない高さになります。現実にはマルチモーダルシステムでもOR方式でパスワードを併用しています。ともあれ、記憶照合への依存を断ち切ることが出来ないのは明白です。

D 画像パスワード

記憶照合に依存しない個人認証はなく、他の照合技術は必ず記憶照合を併用せざるを得ません。そうすると記憶照合の問題点はそのまま複合化手法の弱点となります。ところが旧来の英数字系記憶照合は大きな脆弱性を抱えています。そこで最近急速に注目を集めるようになってきたのが画像パスワードです。表示画面上の画像の特定の位置を特定の順序で選択することを骨子とする視覚記憶認証方式です。



この中からユーザーの権限やデータの重要度に応じて数個のアイコンの組合せを一定の順序で選択し、これを照合データとして登録するものです。特定のストーリーと結びつけて覚えると忘れ難くなる点に注目して、ストーリーを作り易い画面を提供する方法も行われています。

動物は他の生命体を捕食して生存します。自分を捕食する生命体からは逃げなければなりません。他の生命体を認知し識別する能力(主には視覚記憶)は動物にとって生存の前提です。こうした視覚記憶能力は植物から動物が分化した時から、遺伝子の深いところに組込まれて綿々と受け継いできた普遍的な能力であると考えられます。これに対して抽象的な数字・文字に関わる記憶は古くても人類誕生後、新しければこの数万から数千年に獲得したものだと考えられます。しかも文字も数字も長く一部特権階層に独占されてきたもので、一般市民が親しむようになったのは先進国といわれている国々でも最近(百〜数百年)のことです。また、一部の稀な職業を除いて数字・文字の確実な記憶保持の有無が生死を分けるようなことは先ずありませんでした。生命の歴史から見れば、どうでもいいと言って良いような付加的な能力でしょう。

このような人間の根源的な記憶能力に依拠した画像パスワード照合は英数字系記憶照合に比べて遥かに忘れにくく、ユーザーに優しい本人認証方式となっています。私達のニーモニック認証も画像パスワード方式の優れた特徴を骨格の一部として使っています。

しかし、画像パスワードは依然として先述のセキュリティ・パラドックス問題を逃れるに至っていません。覚えるべき画像上の位置の数を大きくするように要求すると机上の計算ではセキュリティは上がりますが、ただ増やすだけであればメモに頼る人も増えて全体のセキュリティを大きく上げることはできません。照合データの入力を数回間違えたところで入力続行を拒絶してしまうと、ユーザーは四隅とか左上とか最も安易な(盗用に弱い)データの登録をするかあるいは(盗用に無力な)メモに頼ることになり、当初の意図とは逆にセキュリティが大きく低下するというパラドックスも残ってしまいます。だからといって、無制限な試行錯誤を許すと今度は第3者によるまぐれ当たりを許す可能性が余りに高くなりすぎます。


3.セキュリティ・パラドックスの克服

セキュリティ・パラドックスが克服できなければ、安全なIT社会の実現は絵空事に終わってしまいます。高齢者など記憶力に自信のない人達とのデジタル・デバイドも拡大するばかりになります。老若男女を問わず全ての市民がその利益を享受できる安全なIT社会の実現の為には何としても、一方で安易な照合データの選択を防ぎ、他方でメモへの依存を防ぐ、有効な方法を確立しなければなりません。

私達はセキュリティ・パラドックスを以下の方法で克服します。

A 基本要件: 本人・他人自動判定手法

記憶照合でセキュリティ・パラドックスに陥るのは、本人がおかすかも知れない誤入力も本人ならおかさないであろう誤入力も等し並に扱って、ある回数繰り返されたところで同じように入力続行を拒絶してしまうからです。繰返しの許容回数を増やすことは他人受入率を増やすことになるので勿論解決にはなりません。セキュリティ・パラドックス克服するためには、記憶の一部・手がかりを保持している人間のおかし得る間違いとおかす筈のない間違いを峻別する工夫が有効です。これが本人・他人自動判定手法です。

登録データと非登録データとに別個の意義と役割を与え、別個の処理をすることによって解決を図ることものですが、具体的には非登録データだけの組合せを選択した誤りは本人がおかす可能性がゼロに近いものとして試行錯誤の回数を厳密に制限するが、一定割合以上の登録データを含む間違選択は本人でもおかし得る誤りとして多くの試行錯誤を許すのです。

思い出せなければアクセス不能になるとの不安が強くなるとメモに頼ろうとしてセキュリティ・パラドックスに陥るので、他人は厳密に拒絶しながらも本人には何度も試行錯誤を許すこの方法は、アクセス頻度の少ないアカウントでの認証や高齢者を想定した分野では特に大きな効果が期待できるもので記憶照合のセキュリティ・パラドックス克服の切り札です。不正アクセス自動判定機能とも呼び、私達の特許ポートフォーリオの中核をなすものです。

画像ベース・言語ベースを問わず、この本人・他人自動判定手法を統合した記憶照合手法を私達はニーモニック認証と名付けました。

B 高度化要件: 長期記憶活用手法

本人の頭脳に既に刻み込まれている“エピソード記憶”を照合データとする長期記憶活用手法を中核技術として使用するもので、新たな記憶形成能力は衰えたが膨大な記憶の蓄積のある人生の先達・高齢者がIT社会の利益を享受する道を開くものです。写真、特に愛着のある人物の顔写真を重視します。特許出願済みです。後で別項目として詳述します。

C 高度化代替要件: ワンアイテム照合手法

たった1個の対象(画像乃至言葉)の記憶を登録データと照合することによって本人確認を行う手法です。デパート店での商品探しのように帰属階層を経由するものですが、新規の記憶形成・保持の負担を要求するものとしては、これ以上に軽く小さな記憶負担で行える方法はありえないという極限的に簡便な記憶照合手法を提供するものです。特許出願済です。後で、別項目として詳述します。

D 追加要件: 異常事態通報機能

表示データの一つを異常事態通報シグナルとして登録しておくものです。脅迫者・不審者に悟られることなく本人確認と同時に(つまり悪戯ではないことを明確にして)ユーザーが異常な状況でアクセスしていることをシステムに通知することが出来るため、ユーザー保護とシステム防衛の両立を図ることが可能となります。

英数字系記憶照合で同様の機能を使うことも不可能ではありませんが、実用性のない机上の論理です。異常事態通報データはまさかの時のためで、通常は使用しないままで記憶し続けなければならないものです。英数字系照合の場合にはアカウントと照合データの1対1の相応関係が混乱しやすく、アカウントの数が多くなるとこうした機能を組込むと誤報による混乱が頻発することになってしまいます。一つのアカウント認証画面に対応する認証データを一組とすることのできる画像ベースの照合ではじめて有用・有効となります。特許出願済みです。

E 推奨要件: 楽しさ

セキュリティ・パラドックスを避ける上では楽しい感情を伴う対象を照合データとすることも重要です。認証の過程が不快・苦痛・面倒だとの思いが強いと、無意識にも認証を避けよう・省こうとし、結果としてセキュリティを下げる方向に心理が働いてしまいます。ニーモニック認証では、認証の過程を少しでも不快ではない、苦痛ではない、面倒ではないと感じてもらうようなデータ選択をしてもらうことも大きな要素です。

以上の要件を取り込んだニーモニック認証は、後見人を必要とするまで極度に記憶の衰えた人や視覚障害者を対象にはできないものの、老若男女を問わず国民の大多数に、それぞれの要求に応じたレベルのセキュリティを提供する、普遍的な個人認証手段となることが期待されるものです。

整理しますと、英数字系記憶照合は人間の記憶能力のほんの一部、それも恐らくは記憶能力の中の最も未開発で貧弱な部分を使っているだけであると考えられます。人間には遥かに広く深い記憶能力が備わっており、また膨大な記憶が溜めこまれています。高齢者の場合、若い頃より新たな記憶形成能力は劣りますが、他方ではより膨大な記憶の蓄積があります。セキュリティ・パラドックスに陥らない工夫を加えつつ、この膨大な記憶能力と蓄積された記憶内容を有効に個人認証に活用するのが当社のニーモニック認証です。


4 長期記憶活用手法: エピソード・ニーモニック認証

既に本人の頭脳に刻み込まれている“長期記憶”,“エピソード記憶”をコンピューターに本人情報として登録し、それを本人認証時に本人に認証させる方式です。

(1) 人の頭脳に刻み込まれている“長期記憶”,“エピソード記憶”を直接コンピューターに登録する事は現時点の技術では不可能なので、その便法として本人の所持する過去の写真から本人が鮮明に見たことが有ると認識する写真数枚を選択し、それを“長期記憶”,“エピソード記憶”としてスキャナー等の媒体を通してコンピュターに登録します。

(2) それと同時に本人が見た事がない写真を別途用意し、紛れ込まし情報として登録します。

(3) 本人認証時には、本人情報と紛れ込まし情報を同時に提示し、認証者に本人情報を選択させ、正解者を本人とみなすのです。

● 下に、以前飼育していた或いはこれから飼育したい愛着のある犬の写真と本人とは関係のない犬の写真が混在した例を示す。登録した本人が間違った選択をする可能性は極めて低い。


● 下の9枚の写真のうち、3枚はオリジナルで、他の6枚はモーフィング合成写真である。オリジナル写真を登録した本人が愛着のある人物の顔を見誤る可能性は極めて低いが、そうした感情を伴わない第3者には判別困難である。出来るだけ昔の写真が望ましい。


a. 記憶の再生から見た優劣

パスワード認証ではパスワードを本人が記憶の中から思い出し“再生”する必要があります。ニーモニック認証では提示された図形・写真或いは漢字や言葉の中からから対象を本人が選択する“再認”を行います。再生よりも再認の方が負担が小さく、本人の認証率も遥かに高いのですが、しかし一方再認には一定確率での当て推量での正解可能性の危険が含まれています。これに関しては本人・他人自動判定機能の判定基準を高く設定することで対応します。

b. 記憶の保存から見た優劣

記憶は現在の認知心理学では以下のように分類されます。

・短期記憶 :ごく短期間保持される記憶。脳科学上はシナプス電位が関係します。
         ( コンピューターのRAMの様に機能しているもの)

・長期記憶: シナプスの発芽や増殖が関係していると言われています。
        ・意味記憶:「鯨は哺乳類である」のような一般的な知識記憶 。
        ・エピソード記憶:個人の想い出記憶。

脳の記憶はコンピューターのストレージとは大きく異なります。例えば記憶の仕方やそれを何回も繰り返す事により脳の記憶場所やシナプスにネットワークが形成される点などです。例えば「1010」という暗証番号を想定します。これを記憶する場合、短期記憶として記憶されますが何もしなければ長くて数分で忘却します。しかしこれを繰り返すとリハーサル効果により記憶は強化されます。さらにこれを「トウトウ吉永小百合と握手した」の様に語呂合わせにより記憶すると、意味記憶として脳の海馬の司令により側頭葉に保存され少なくとも1ヵ月程度は保存されます。さらに1ヵ月以内のインターバルでこれを繰り返し記憶強化する或いはその場面を想像する事でネットワークが形成され更に記憶は強化されます。仮にシンボル認証で、複数の絵や数字の中に「1010」、「吉永小百合」、「握手」の絵や数字が存在した場合、「トウトウ吉永小百合と握手した」とストーリーづけして記憶するのは意味記憶を使用した認証方法といえます。

脳の記憶はコンピューターのストレージとは大きく異なります。例えば記憶の仕方やそれを何回も繰り返す事により脳の記憶場所やシナプスにネットワークが形成される点などです。例えば「1010」という暗証番号を想定します。これを記憶する場合、短期記憶として記憶されますが何もしなければ長くて数分で忘却します。しかしこれを繰り返すとリハーサル効果により記憶は強化されます。さらにこれを「トウトウ吉永小百合と握手した」の様に語呂合わせにより記憶すると、意味記憶として脳の海馬の司令により側頭葉に保存され少なくとも1ヵ月程度は保存されます。さらに1ヵ月以内のインターバルでこれを繰り返し記憶強化する或いはその場面を想像する事でネットワークが形成され更に記憶は強化されます。仮にシンボル認証で、複数の絵や数字の中に「1010」、「吉永小百合」、「握手」の絵や数字が存在した場合、「トウトウ吉永小百合と握手した」とストーリーづけして記憶するのは意味記憶を使用した認証方法といえます。

記憶の中ではエピソード記憶が最も強固ですが、さらに意味記憶に比して忘れにくく思い出し易いという特徴を持っています。その意味でも記憶認証としては“エピソード記憶”が優れています。また意味記憶能力が高いのは小学生程度までとされ、それ以降はエピソード記憶能力が優るようになります。殆どの場合認証対象者は小学生以上なので、エピソード記憶を認証に使用する事は重ねて有効です。

では“エピソード記憶”を“意味記憶”にさせない様な強固な“エピソード記憶”とはどのようなものでしょうか?それは過去に本人が出来るだけ長期間に接した光景でしょう。それは絶えず接する事で反復して記憶強化され、関連した色々な思い出と共に脳のシナプスの増殖や発芽が行われ新しいネットワークが形成されている筈です。例えば過去の古い写真を見て関連の想い出が次々と思い出されるのはシナプスネットワークが形成されているからです。

私達は数十年前の写真を見せられても確かに見覚えがあるという写真を多数もっている筈です。このような数十年を経ても記憶として存続し直ちに蘇るような記憶が最も強固であり、それは数年程度見なくとも忘れ去られる事はない筈です。エピソード・ニーモニツク認証はこのような「体験」の象徴を記憶対象として選択する事を特徴とします。そのために新たな記憶は必要としないし、かつその記憶は恐らく今後もエピソード記憶として保持される筈です。そのためこの認証方式は脳にダメージを来さない限り、バイオメトリックスで対象とする生体の特徴点に近い長期保持力を伴う認証方式となり得るのです。


5.ワンアイテム照合手法

照合データを、例えば「梨」とします。梨は果物で、食料品です。照合手順の最初のページに数十種のカテゴリーが(衣服、家具、乗物、etc. + 食料品)がアイコン或いは文字で表示されるので、食料品を選択します。2ページ目には2次レベルのカテゴリー(野菜、酒類、菓子、etc. + 果物)が表示されますので果物を選択します。3ページ目に表示される多数の果物から梨(アイコン或いは文字)を選択すると登録データと照合されて認証されます。この場合の選択は3度ですが、関連のない或いは乏しいものを3つえらぶのではなく、1個の対象物に関わる大範疇(食料品)から小範疇(果物)、小範疇(果物)から対象(梨)へと、対象に引き寄せられるように進むので関連のないものを3個記憶することよりも記憶負担は遥かに小さなものです。また、自分の認証データが何だったかを忘れても、確か果物だったという記憶の手がかりが残っていれば、果物を選択し捜す中で「梨」に目が行けば思い出す可能性は高いといえます。

このように階層的な画面表示を通じて目標に誘導されるように到達することによって記憶を照合し本人確認・個人認証を行うのですが、1万品目を用意してその中から一つを選ぶとすればまぐれ当たりの確率は1万分の1で4桁の数字を記憶するのに相当します。最下層で一万品目を用意すれば、上位の階層の数・構成方法の如何に関わらず、成りすましを試みる第3者によるまぐれ当たりの確立は1万分の1です。更に、異なった大範疇が何度も繰返し選択された場合には、これは正規ユーザーの間違いではなく第3者の不正使用であると確信をもって断定できますから、データ抹消等その後の使用を自動的に不可能にすることも出来ます。また、他の対象(アイコン乃至言葉)を脅迫通報データとして別個に登録しておけば、本人確認を行うと同時に異常事態での認証要求であることを脅迫者に知られることなくシステム側に通報することも出来ます。

認証データは商品に限られるものではなく、抽象的なものでも良いのですから品目数を更に増やすことも、いくつものシリーズを用意することも容易です。無意味な4桁の暗証番号を覚えることの困難な人の数に比べれば、たった1個の照合シンボル・言葉を覚えることの出来ない人の数は遥かに少ないと考えられます。

この方式の本質は、たった1個の対象物の記憶を登録データと照合することによって本人確認・個人認証を行うことにあります。つまり、これ以上に軽く小さな記憶負担で行える記憶照合本人確認・個人認証手法はありえないという極限的に簡便な記憶照合手法を提供するものです。

先述したように、1万個個の中に1個の真正データを秘匿すれば4桁の暗証番号と同じレベルの確実性を提供できます。1万個の対象物(アイコン乃至言葉)を一度に画面表示することは不可能ではありませんが、実際的ではありません。これを解決するにあたって階層表示の形をとるのですが、一般的な階層的表示手法と異なりそれぞれの階層ごとに別個の対象を記憶する必要はありません。例えば3階層表示であっても、記憶せねばならないものは1個のアイコン或いは言葉だけなのです。上位の2階層についての別個の記憶努力は不要です。その1例が{梨(対象物) < 果物(小範疇) < 食料品(中範疇) < 商品(大範疇) < 万物}ですが、梨に対して果物・食料品は新たな記憶努力を要するようなものではありません。

少数の説明員だけでデパート店商法が成立しているのは、殆どの来客者が「梨」を探すには「果物」を探せば良い、「果物」を探すには「食料品」を探せば良い、従って店に着けば先ず「食料品部門」を探し、次には「果物コーナー」を探せば「梨」に辿りつく、との一般的な言語能力と一般常識を有しているからです。このオンリーワン方式も、社会生活・経済活動の中で本人確認・個人認証を必要とする個人は、通常の社会生活を営んでいる人達であり、それに必要な一般的な言語能力及び一般常識を有していることが前提となっています。


6. 記憶認証一覧

これまでの整理をして様々な記憶認証手法を一覧表とします。
(1) 英数字系記憶認証 (1)1 シンプル型(無意味・ランダム)
(1)2 セマンティック型(有意味・本人情報)
(2) 画像系記憶認証 (2)1 シンプル型(無意味・ランダム)
(2)2 セマンティック型(有意味・ストーリー)
(3) ニーモニック認証 (3)1 シンプル・ニーモニック(無意味・ランダム)
(3)2 セマンティック・ニーモニック(有意味・ストーリー)
(3)3 エピソード・ニーモニック(長期記憶)
(3)4 ワンアイテム・ニーモニック(常識意味記憶)
シンプル型とセマンティック型は覚え易いものは他人の類推を受け易いというトレードオフの関係にあります。

高齢者など記憶力が強いとは言えない人達を対象とし、記憶保持・メモ防止を第1基準、類推防止を第2基準、総当り抑止を第3基準、とすると

(3)3 > (3)4 > (3)2 > (2)2 > (3)1 > (2)1 > (1)2 > (1)1

記憶保持能力・メモ禁止実行を絶対要件とする高機密業務従事者を対象として、他人の類推を防ぐ観点を第1基準、総当り抑止を第2基準、とすると

(3)1 > (3)2 > (2)1 > (2)2 > (3)4 > (3)3 > (1)1 > (1)2

同じく業務従事者でも、多くのアカウントに独自の照合データを使用することが必要であれば

(3)2 > (3)1 > (3)3 > (3)4 > (2)2 > (2)1 > (1)2 > (1)1

という優劣順位になるというのが私達の評価です。これらと異なる場面では一部異なる順位になるものと推察できますが、総体的には、(1)に対する(2)の優位、(2)に対する(3)の優位は変わらないと考えられます。判定基準については後述「セキュリティ強度」をご参照下さい。(実証テストを計画しています。)


7 ニーモニツク認証の革新性: 記憶の仕組


(1)認証方式の類型化

   現状の認証方式は以下の2つの軸で類型化する事ができます。


a軸で、本人情報を変更a軸で、本人情報を変更出来ない場合には、本人情報が盗まれた時には認証上は本人以外に架空の本人が存在し、しかもそれが消去出来ないという重大な問題点が発生します。

b軸で、(3)の記憶照合方式の中でニーモニツク認証は新たに記憶する必要がないという点で他の記憶照合方式とは異なり、むしろ単独使用のバイオメトリツクス認証と同じ位置づけにあります。

(2)認知心理学から見た記憶の分類と対応する記憶認証

   現状の記憶の分類と対応する認証方式は以下の通りと考察されます。
記憶の貯蔵による分類 短期記憶 (記憶活用) 長期記憶
記憶再生・再認による分類   意味記憶 エピソード記憶
再生 英数字系記憶認証    
再認   画像系記憶認証 ニーモニック認証
+工夫     エピソード・ニーモニック


8 ニーモニツク認証の運用

ニーモニック認証の具体的な運用モデル例を挙げます。

頻繁な個人認証を必要とする業務従事者などでは、システム側から提供され画面に表示された多数の視覚対象の中から数個を一定の順序で選択しそれを照合データとするシンプル・ニーモニック認証で容易に且つ最も低コストで対応することができます。

アクセス頻度が少ないアカウント用など記憶の継続的保持が容易ではない状況においては、ユーザー自作の「意味を持つ」視覚対象を自作ではない「意味のない」視覚対象と混在させ、前者を照合データとするセマンティック・ニーモニック認証方法を使うことができます。自作とは自ら描いた或いは友人から贈られたイラストや書画、自分が撮った或いは集めた写真などを言います。

個人認証の利用頻度が非常に少ないユーザーや高齢者など記憶力の衰えたユーザーを対象にするエピソード・ニーモニック認証を使用する場合には、既に長期記憶となっている記憶内容に直結する視覚対象をユーザーから提供してもらい、システム側或いは安全な第3者機関がこれら視覚対象を「意味のない」対象に混在させたものをユーザーに送付します。高齢者を想定した例としては、子供が幼かった頃の写真、配偶者の若かりし頃の写真、等が考えられます。特に、本人が長く保持してきた愛着ある人の顔写真は時の流れを超えて容易に識別できることが知られていますので最も相応しい照合データになると考えられます。とりわけオリジナル写真と他人の顔との合成写真を混在させたものを認証画面としたものは、本人が間違える可能性も他人が見破る可能性も共に極めて低い、高齢者には特に相応しい、有効な個人認証手法となります。ユーザーの事情や運用状況によっては、コストのかからないワンアイテム照合方式が代替手法となります。


9 セキュリティ強度

ニーモニック認証の本人認証手法としてのセキュリティ強度の相対評価を行います。

所持物照合に使用される所持物が複製不能で完璧な耐タンパー性を持っているものと想定しても、盗用対策或いは置忘対策のためには記憶照合を併用しなければならず、この併用される記憶照合の強度が所持物照合のセキュリティ強度を決定します。生体照合の場合には、たとい他人受容率が100億分の1以下であっても、生きた肉体上の特徴点を計測するものである以上突然の怪我・火傷その他の障害・不調に遭遇する可能性を否定することはできず、従って本人拒否率をゼロと想定することはあり得ません。実際的な運用場面では必ずバックアップとして記憶照合を併用しなければならず、この併用される記憶照合の強度が生体照合のセキュリティ強度を決定します。つまり、ニーモニック認証のセキュリティ強度の相対評価は、所持物や生体照合装置のカタログ性能ではなく、併用される他の記憶照合との比較で評価されるべきものです。

画像照合方式と英数字系記憶照合方式の比較評価では、両者とも紙の上にメモできるデータ量に制限はありませんので、覚えているデータの強度と覚えられず紙の上に残さざるを得なかったデータの強度との比較は全く無意味です。つまり強度の比較評価は、記憶できる限りにおいて、その範囲の中でのみ、有効且つ有意味です。

先ず、生体照合に併用される英数字系記憶照合の強度を検討します。何ヶ月も或いは最後まで使わないかも知れないのに、無意味・ランダムな英数字記号列や複雑なキー操作を登録し、使わないままにその記憶を保持し続けるというのは一般人には為し得る業ではありません。ここに例えば3回とか5回とか入力を間違えると入力作業の強制終了といった方策が講じられ、更にメモ携帯を禁止されれば、誕生日など忘れることのない本人固有データを使う以外にはありません。英数字系記憶照合用の候補となる本人固有データ数が10を大きく超えるユーザーはそう多くはないでしょう。ユーザー情報を収集し得る位置にいる第三者を想定すれば、成りすまし成功確率は10分の3とか5といったレベルとなり、これは他の認証手法とのとの相対比較どころの話ですらありません。本人固有情報使用が厳禁されれば、ユーザーは管理者に隠れてでもメモを携帯することになるでしょうが、これも前述のように比較評価の対象にはなりません。ともあれ、生体照合方式の実効的セキュリティレベルが画像照合方式を大きく下回ることは明らかです。

単独方式或いは所持物とAND方式で併用される英数字系記憶照合で日常的に頻繁に使われるものであれば、少なからぬ人が無意味・ランダムな英数字を記憶できます。ただ、8桁の無意味・ランダムな英数字記号列を記憶できる人であれば、画面に表示された90個の視覚対象の中の8個を順序づけて覚えることも同様に出来るでしょう。150個の中の8個記憶であれば強度は更に上回ります。ともあれ、英数字系記憶照合も所持物照合の実効的セキュリティレベルも画像照合方式を上回ることがないことは明らかです。

アカウントの数が増えると、画像照合方式と英数字系照合方式の差異は顕著になります。5組の8桁ランダム・パスワードを容易に覚えられる人でも、そのパスワードがどのアカウント用なのかの1対1対応関係までも、メモに頼らずに明瞭に記憶・管理することは困難です。画像方式では比較的容易です。アカウント毎に異なる認証画面を登録しておけば良いのです。アクセス時に自動的に表示される認証画面に対応する照合データは1組であり、1対1の対応関係が混乱する可能性は非常に低いものです。

ニーモニック認証は画像照合方式のロジックを包含しているので、そのセキュリティレベルが画像照合方式を下回ることはありません。但し、これは考慮すべき多くの要素の一つを、一つの数学的強度の観点(まぐれ当たり確率)からみただけの比較にすぎません。画像照合方式ではセキュリティ・パラドックスの問題が克服されていません。

セキュリティ・パラドックスを克服するのために、ニーモニック認証は正規ユーザーには試行錯誤の繰り返しを許しながら、第三者による総当たりの試みを挫く不正アクセス自動判定機能を統合しています。そのパラメータは可変です。日常的に頻繁に使用するユーザーであれば一回たりとも非登録データばかりの組合せを選択することはまずありえません。1回の不正入力で強制終了するように設定しておれば、成りすまし不正アクセスを試みる第3者による総当たりは初回で挫かれます。しかし、正規のユーザーがおかしやすい間違いは許容されています。従ってメモへの依存度も大きく下げています。これは先に検討した数学的強度とへ別の次元でもセキュリティを大きく向上させています。

月に数度しか使わないようなユーザーには非登録データ入力を2〜3回まで許す或いは年に数度しか使わない人では4〜5回くらいまでも許すとすれば、当然数学的強度は落ちますが、それよりも更に重大なメモ携帯よるセキュリティ崩壊は抑止することができます。

ところで、世の中は記憶力の強い人ばかりではありません。英数字パスワードであれ画像パスワードであれ、多くの照合データをそのアカウントとの対応関係も含めて、覚えていられるような人は総人口のほんの一部でしょう。記憶照合の現実的・実際的なセキュリティ強度の検討・評価は、そうした芸当の出来ない平均的市民及び記憶力の衰えてきた高齢者を想定して行わなければ無意味です。

画面に4x4(16)個の顔写真が表示されていると想定します。そのうちの4枚は高齢のユーザーから提供された長年愛着の写真です。他の12枚は無意味な囮です。望ましくはユーザー愛着の写真と無意味な写真との合成写真です。4枚の愛着写真のうちの3枚を順序を問わず正しく選択したものを正規のユーザーと判定する方式を考えますと、見かけ上の数学的強度は決して高いものではありません。しかし、他人の試みは数回でシャットアウトしながらも、本人の試行錯誤の繰返しは許容する本人・他人判定機能を統合していれば、必要なレベルの他人排除率を維持しながらも認証時に不成功に終わる確率は低く、従ってメモに頼ってしまってセキュリティ崩壊に陥る可能性も低いのです。

要は、セキュリティ強度は破られて失うものの大きさとのバランスで考えられるべきものです。大金や機密情報を得ようとする計画的・組織的な第三者に備えるセキュリティと高齢者から年金受領資格を詐取しようとする第三者に備えるセキュリティには当然違いがあって然るべきです。

前者の典型は、スクロールも含めて画面に表示できる限り多数の無意味な視覚対象を表示し、覚えられる限り多くの個数を記憶し(例えば200個の中の10個)、本人の試行錯誤を一定の株式回数に制限し、第三者排除の不正判定回数は厳しく1回限りとするものがあり、後者の典型は、画面表示の16枚の写真の中に混在した本人愛着写真3枚のうちの2枚を選んでもらい、本人の試行錯誤は無制限、第三者の不正判定回数を5回程度とするといった方法が考えられます。

ユーザーの記憶がセキュリティの最後の拠り所であり、記憶力の良い人だけがIT社会の利益を得られれば良いなどと言う考えは絶対に許されない、これがセキュリティ強度評価の大前提です。


10 ニーモニック認証の汎用性

ニーモニック認証は専用ハードウエアを必要としません。従って応用分野においても運用形態においても受ける制約が最も少ないものです。使用者も、使用環境も、デバイスの種類も問いません。つまり何らかの視覚対象を覚えていられる限りは全ての老若男女が使用でき、情報セキュリティであれ物理的セキュリティであれ、ネット接続状態であれスタンドアロンであれ、デスクトップであれモバイル端末であれ或いは単なるメモリー媒体であれ、そこに表示画面と何らかの入力手段があれば或いはその用意が可能であれば、全ての局面でニーモニック認証は使用可能です。専用ハード不要であるためコスト面での優位性は言を待ちません。ここでは電子政府・自治体構想を念頭において具体的な応用方法に触れてみます。

個人に付与される電子証明書は何らかの電子媒体に保管して個人が管理することになるでしょうが、そこで問題となる個人認証には二つの側面があると考えられます。その電子媒体の所有者であることを証明することと、その媒体を提示する相手が媒体内部の情報を閲覧することを認め許す意思を明確且つ積極的に表すことです。電子証明書の保管媒体に何らかの個人情報が同時に搭載されている場合にはこの二重の確認は不可欠です。住民票を受け取るためにアクセスした市役所のサーバーに、例えば医療情報が所有者の意思を問わずに勝手に開示されて良いわけがありません。これは、場所毎・目的毎に異なる照合データが必要となるということを意味します。セキュリティ・パラドックスに陥り難いニーモニック認証は、こうした複数のアカウントと2重性目的を持つ電子証明書の所有者認証・意思表示に最も相応しい本人確認手法と考えられます。

PDA/PIAのような画面表示・画面タッチ入力と記憶装置の全てを完備したモバイル端末に、或いは安全な外部端末依存が想定できればICカード等の記憶媒体に、ニーモニック認証ソフトと複数の認証画面を搭載します。一般行政サービス用と医療情報その他重要プライバシーには異なる認証画面・照合データを用意・登録しておきます。高齢者を排除する電子政府・自治体はありえないのですから、使用頻度の低い高齢者にも易しい方式、つまり長期記憶に直結する視覚対象を照合データとするのを基本方式とします。例えば、行政サービス用には伴侶の若い頃の写真を照合データとし、重要プライバシーの開示には子供の幼い頃の写真を照合データとする、等です。囮データにモーフィング写真を使うと便宜と安全性の両立を図ることができます。

[ このウィンドウを閉じる ]