行動的生体認証は、マウスの動き、タッチスクリーンの使用、入力速度など、ユーザーのアクティビティにおける固有のパターンを分析してIDを検証する認証の一種です。
詐欺師やサイバー犯罪者は、マルウェア、フィッシング、ソーシャル・エンジニアリング詐欺を使用して認証情報を取得し、悪意のある目的でアカウントを乗っ取ることにより、正当なユーザーをターゲットにするケースが増えています。IBM® Cost of a Data Breach Reportによると、盗難または漏洩した認証情報がデータ侵害の10%を占めています。
行動的生体認証方式は、パスワードやセキュリティ・キーなどの従来の認証手段を超えて、IDセキュリティおよび不正アクセス検知システムにさらなるセキュリティ層を追加できます。
ハッカーはパスワードやUSBキーを盗み、ユーザーのアカウントを制御する可能性があります。しかし、行動的生体認証システムをすり抜けるには、ユーザーの行動を模倣する必要があるため、不審な行動を隠すことがはるかに困難になります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
行動的生体認証と物理的生体認証の主な違いは、行動的生体認証の要素が能動的であり、ユーザーの行動を監視していることです。物理的生体認証の要素は、指紋などの変化しない物理的特性に基づく受動的な要素です。
一般的な物理的生体認証の要素には、顔の特徴、網膜構造、静脈パターン、指紋パターンまたは人の声のパターンがあります。一般的な行動的生体認証の要素には、キーストローク、マウスの動き、デバイスの位置などがあります。
行動的生体認証は通常、ユーザーのセッション中に継続的に監視され、人のタイピング速度が突然変化するなど、通常の行動からの逸脱をリアルタイムで検知します。物理的生体認証は通常、セッションの開始時に一度だけ実行されます。
行動的生体認証テクノロジーは、人の活動における固有のパターンを利用してその個人を識別します。分析されたアクティビティには、マウスの動き、キーストロークの速度、携帯電話の位置などの要因が含まれます。
一般的な行動的生体認証の要素には、次のようなものがあります。
ノートPC、モバイル・デバイス、その他のデジタル・デバイスで作業しているとき、タッチスクリーンの使用方法やマウスの動きの頻度や流動性など、人々には独自の行動パターンがあります。
マウスを使用する場合、ユーザーはスクロールの設定、カーソルの移動、全体的な速度に関して一定のパターンを持つ可能性があります。タッチスクリーンでは、スワイプ速度、圧力、使用する画面の領域などの要素が、ユーザーの行動プロファイルの構築に役立ちます。
不審なアクティビティとは、以前は常にマウスを使用していたユーザーが突然タッチスクリーンを使用したり、マウスの動きがスムーズではなくロボットのようになったりして、チャットボットが乗っ取ったことを示唆するものなどです。
人のキーボード操作パターンやキーストロークのダイナミクスには、タイピング速度、リズム、および一般的に使用するショートカットが含まれます。
一部の行動的生体認証ツールは、デバイスのジャイロスコープや加速度計からのデータに基づいて、ユーザーの利き手や、通常スマートフォンを持つ角度などの要素を追跡できます。
特に業務的な文脈では、ユーザーは自身のデバイスを使用し、同じ場所または一連の場所からリソースにアクセスする傾向があります。結果として、ユーザーの所在地とIPアドレスのデータを行動的生体認証の要素として使用できます。ユーザーがまったく新しい場所からログインしたり、指定した所在地と一致しないIPアドレスからログインしたりした場合は、サイバー攻撃が進行中である可能性があります。
行動的生体認証を実装する最初のステップは、データを収集してユーザー行動プロファイル(つまり各ユーザーの通常の行動に関する全体像)を構築することです。
行動的生体認証データは、多くの場合、ユーザーがアプリ、Webサイト、またはデータベースとやり取りする際に受動的に収集されます。多くの場合、行動認証ツールでは、正確なベースラインを生成し、誤検知を減らすために、ユーザー・アクティビティーのサンプルがいくつか必要となります。たとえば、IBM VerifyのIDおよびアクセス管理(IAM)ソリューションでは、データを収集するために少なくとも8つのセッションが必要です。
行動的生体認証ソリューションでは、ディープラーニングや畳み込みニューラル・ネットワーク(ConvNetまたはCNN)などの高度なAIおよびMLテクノロジを使用して、収集されたデータを処理してモデルを構築します。
ほとんどの行動的生体認証システムは、一連のセッションの間にユーザーの行動データを収集し続けます。このデータを使用してベースラインモデルをさらに改良し、時間の経過とともに精度を向上させます。
ユーザーがシステムにログインするか、新しいリソースへのアクセスを要求すると、ユーザーの行動パターンがモデルと比較されます。ユーザーは想定されるIPアドレスからログインしているでしょうか。キーストロークのダイナミクスは、ユーザーの典型的なパターンと一致しているでしょうか。
ユーザーの行動は、その例外性または異常性の程度に基づいてスコア付けされます。セキュリティー・システムに設定されたスコアしきい値に基づいて、要求が自動的に許可、フラグ、またはブロックされます。
ID確認は、通常、行動的生体認証のみに基づいて行われません。むしろ、行動的生体認証の要素は、セキュリティー・コンテキストに基づいて認証要件を変更する適応型認証システムの一部として一般的に使用されます。たとえば、ユーザーが通常のIPアドレス(行動的生体認証)からログインする場合、パスワード入力のみが必要となる場合があります。しかし、想定しないアドレスからログインした場合、パスワードと指紋スキャンの入力が必要になる場合があります。
行動的生体認証は、ユーザー行動分析(UBA)システムなどの継続的な認証および監視ツールでも使用されます。これらは、ログインやアクセス要求を超えて、常にユーザーのアクティビティー・パターンを追跡します。セッション中の任意のタイミングでユーザーが標準から逸脱した場合、UBAはセキュリティー・チームに警告することができます。
組織と個人の両方にとって、行動的生体認証はいくつかの便利な方法で機能できます。
生体認証要素を他の認証要素と組み合わせて使用することで、IDを証明するために2つ以上の要素をユーザーに求める多要素認証(MFA)の実装において、サイバーセキュリティと利便性をさらに高めることができます。
たとえば、MFAシステムは、キーストロークのダイナミクスを第2要素として扱いながら、ユーザーにパスワードを要求する場合があります。MFAは、2つの識別手段を要求することで、その1つは簡単に盗むことができないことから、攻撃者が個人のIDを乗っ取ることを困難にしています。また、2番目の要素は自動解析に基づいているため、ユーザーはパスワードの入力以外には何も行う必要がありません。
行動的生体認証は、金融サービス取引の高速化と安全化に役立ち、ユーザー・エクスペリエンスを合理化します。たとえば、ある人が通常はスマートフォンを使用して支払いを行っている場合、行動的生体認証は、その人が通常と同じ携帯電話を使用しているかどうか、また、ファイル上の行動と同様にその電話を使用しているかどうかを自動的に判断できます。
行動的生体認証は、金融機関、電子商取引小売業者、その他の組織がデータ・セキュリティー対策を強化し、不正行為を検知・防止するために役立ちます。
たとえば、行動的生体認証は、詐欺師の行動と彼らがなりすますユーザーの行動を比較することで、不正な口座開設や口座乗っ取り詐欺を防ぐ際に有用です。AIツールにより、ハッカーがユーザーのアカウントの制御を掌握することが容易になるため、これらの保護はこれまで以上に重要になっています。Gartner社によれば、AIエージェントはアカウントのエクスポージャーを悪用するために要する時間を50%短縮します。
行動的生体認証は、違法な目的でお金を隠したり転送したりするために使われているミュール口座の検知にも役立ちます。行動的生体認証システムは、これらの口座が通常のユーザーのように操作されていない様子を特定し、調査対象としてフラグを立てることができます。
人がキーボードを使ったり歩いたりする方法を完璧に模倣するよりも、パスワードやIDカードを盗む方が簡単です。また、詐欺師が最初のログインをすり抜けたとしても、セッション中ずっとその行為を続けなければなりません。標準からのあらゆる逸脱は、セキュリティチームに警告される可能性があります。
生体認証は人間の行動に依存するため、非侵入的であり、ユーザー側で追加の労力を必要としません。これにより、スムーズな従業員と顧客のエクスペリエンスを実現できます。