JP7740552B2 - 本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラム - Google Patents

本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラム

Info

Publication number
JP7740552B2
JP7740552B2 JP2024530109A JP2024530109A JP7740552B2 JP 7740552 B2 JP7740552 B2 JP 7740552B2 JP 2024530109 A JP2024530109 A JP 2024530109A JP 2024530109 A JP2024530109 A JP 2024530109A JP 7740552 B2 JP7740552 B2 JP 7740552B2
Authority
JP
Japan
Prior art keywords
authentication
user
advanced
normal
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2024530109A
Other languages
English (en)
Other versions
JPWO2024004011A1 (ja
Inventor
芳彦 大森
高生 山下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2024004011A1 publication Critical patent/JPWO2024004011A1/ja
Application granted granted Critical
Publication of JP7740552B2 publication Critical patent/JP7740552B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Collating Specific Patterns (AREA)

Description

本発明は、Webサービスやオンラインシステムのアカウントにアクセスするユーザが正規のユーザであるかを定量的に推定する、本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラムに関する。
ユーザにとって、便利なログイン手法として、シングルサインオン(SSO:Single Sign On)システムが知られている。シングルサインオンとは、1度のユーザ認証によって複数のシステム(Webサービスや社内システム、クラウドサービス等)の利用が可能となる仕組みを意味する。
例えば、図12に示すような非特許文献1に記載のシングルサインオンシステム1aでは、ユーザの振る舞いに関する情報を収集して、本人性スコア算出機能(図12の本人性スコア算出装置10a)において、ユーザの本人性のスコアを算出する。ユーザの振る舞いに関する情報としては、ユーザのアカウントへのアクセス時刻、利用している端末やデバイス、アクセス時の位置情報などがある。
また、シングルサインオンシステム1aの認証機能(図12の認証装置20a)が、本人性スコア算出装置10aが算出した、ユーザの本人性のスコアに基づいて、本人性の低い(スコアの高い)ユーザに対しては、2段階認証などの厳格な認証を行ってから、アカウントへのアクセスを許可する。
なお、本明細書において「本人性」とは、アカウントにアクセスしてくるユーザが、そのアカウントに紐づく真のユーザ(本人)であることの信頼性を意味する。
図12で示すシングルサインオンシステム1aにおける本人認証の処理の流れについて説明する。なお、ここでは、シングルサインオン(以下、「SS0」と記載することがある。各図も同様。)を利用するシステムとして、Webサーバ51、社内システム52、クラウドサービス53等をユーザが利用する環境において、Webサーバ51に対しアクセスする例として説明する。
(ステップS1)まず、ユーザはユーザ端末3を用いてWebサービスを利用するために、Webサーバ51にアクセスしてログイン要求する。
(ステップS2)Webサーバ51は、ユーザを認証するために、ユーザ端末3を経由して、シングルサインオンシステム1aにリダイレクトする。
(ステップS3)シングルサインオンシステム1aの認証装置20aは、ユーザ端末3から、ユーザの振る舞い情報として、位置情報、端末種別(デバイス情報)を取得する。
(ステップS4)認証装置20aは、位置情報、端末種別(デバイス情報)を、アクセス時刻とともに、本人性スコア算出装置10aに送信する。
(ステップS5)本人性スコア算出装置10aは、認証装置20aから取得した、位置情報、端末種別(デバイス情報)、アクセス時刻を、ユーザ振る舞い情報テーブルに格納する。そして、本人性スコア算出装置10aは、位置情報、端末種別(デバイス情報)、アクセス時刻ごとの過去のアクセス時の情報との差分に基づいてスコアを算出し記録する。
この本人性スコア算出装置10aが算出するユーザの本人性のスコアは、ユーザの振る舞い情報の項目ごとに、取得したユーザ振る舞い情報に基づきアカウントにアクセスしようとしているユーザがアカウントの所有者であるかを推定し、数値で評価するものである。そして、本人性のスコアの算出では、過去のアクセス時の情報との差分が大きいほど、スコアが大きい値とする。例えば、位置情報では、いつもと異なるエリアからの接続ほどスコアの値を大きくする。端末種別(デバイス情報)では、いつもと異なるデバイスでの接続ほど、スコアの値を大きくする。アクセス時刻では、いつもと異なる時刻にアクセスした場合ほど、スコアの値を大きくする。本人性スコア算出装置10aは、図13で示すように、ユーザの振る舞い情報の項目ごとに評価した数値を合算した値を、ユーザの本人性のスコアとして算出し記憶する。
(ステップS6)本人性スコア算出装置10aは、算出したユーザの本人性のスコアを、認証装置20aに送信する。
(ステップS7)認証装置20aは、本人性のスコアが、予め設定された閾値を超えている場合には、2段階認証を実行してユーザを認証する。また、閾値を超えていない場合、認証装置20aは、デフォルトの認証手法によりユーザを認証する。
このようにして、シングルサインオンシステム1aにより、本人性のスコアを用いて本人認証を行うことができる。
一方、アカウントにアクセスするユーザの本人性に関する技術として、非特許文献2に記載の技術が知られている。
非特許文献2に記載の技術では、ICS(Industrial Control Systems)に特徴的な高セキュリティなインシデント予測を行うために、マルチレベルベイズネットワークを構築して、インシデントの発生確率(攻撃が起こる確率:本人でない確率)を予測する。そして、マルチレベルベイズネットワークと、マルチモデルを組み合わせて、そのインシデントによりもたらされる影響(被害)の量を評価する。非特許文献2に記載の技術では、ネットワークに攻撃をもたらすリスクを、インシデントの発生確率と、もたらされる影響の量とに基づき評価する。
"SmartFactor Authentication,"OneLogin, [online],[令和4年6月7日検索]、インターネット<URL:https://www.onelogin.com/product/smartfactor-authentication> Q. Zhang, et.al.,"Multimodel-Based Incident Prediction and Risk Assessment in Dynamic Cybersecurity Protection for Industrial Control Systems,"IEEE Transactions on Systems, Man, and Cybernetics: Systems, vol. 46, no. 10, pp. 1429-1444, 2016.
しかしながら、非特許文献1および非特許文献2に記載の技術では、個々のユーザの本人性のスコアを数値化(スコア化)しているので、ネットワークやサーバの運用状態(例えば、ネットワークやサーバへの攻撃と思われるトラヒック量の変化)に基づいてセキュリティと利便性を最適化した認証を行うことは困難である(課題A)。
また、非特許文献1に記載の技術では、ユーザの本人性のスコアが、製品ごとに独自の基準でスコア化したものであるため、アカウントの保守者は、本人ではないユーザ(アカウントの所有者ではない、なりすまし等)がもたらす脅威が発生したときの影響評価と対応判断に、製品ごとに異なるノウハウの習得が必要になる(課題B)。さらに、独自の基準でユーザの本人性を数値化しているため、複数の製品の各数値を統合して本人性を評価することが難しい(課題C)。
一方、非特許文献2に記載の技術では、保守者の高度な知識に基づいて、ユーザの振る舞いに関するパラメータや状態遷移確率が抽出されていることが前提であり、攻撃が起こる確率(本人でない確率)や、インシデントが他のインシデントをもたらす確率などが、既知でないと、ユーザの本人性を確率で数値化できない(課題D)。
このような点に鑑みて本発明がなされたのであり、本発明は、ユーザの本人性のスコアを、製品ごとの独自の基準やノウハウを用いることなく、観測可能な情報から算出することを課題とする。
本発明に係る本人性認証システムは、ユーザの本人性を示すスコアを算出する本人性スコア算出装置と、ユーザ認証を行う認証装置とを備える本人性認証システムであって、前記認証装置が、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第2の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、前記本人性スコア算出装置が、ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集する振る舞い情報収集部と、前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集する認証結果収集部と、所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知する高度認証制御部と、前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部と、を備え、前記認証装置が、前記アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、前記本人性スコア算出装置から通知された高度認証手段により、前記高度認証を実行すると判定したユーザに対し高度認証を実行し、前記通常認証および前記高度認証の前記認証結果情報を前記本人性スコア算出装置に送信する認証処理部を備えることを特徴とする。
本発明によれば、ユーザの本人性のスコアを、製品ごとの独自の基準やノウハウを用いることなく、観測可能な情報から算出することができる。
本実施形態に係る本人性認証システムの全体構成を示す図である。 本実施形態に係る本人性認証システムの処理の概要を説明するための図である。 本実施形態に係る本人および非本人の認証結果を説明するための図である。 本実施形態に係る本人性スコア算出装置の構成例を示す機能ブロック図である。 本実施形態に係る認証結果DBに格納される認証結果情報のデータ構成例を示す図である。 本実施形態に係る振る舞い情報DBに格納される振る舞い情報(アクセス情報および行動履歴情報)のデータ構成例を示す図である。 本実施形態に係る統計情報DBに格納される統計情報のデータ構成例を示す図である。 本実施形態に係る認証装置の構成例を示す機能ブロック図である。 本実施形態に係る認証装置による通常認証手法の選択処理を説明するための図である。 本実施形態に係る本人性認証システムが実行する処理の流れを示すシーケンス図である。 本実施形態に係る本人性スコア算出装置および認証装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。 従来のシングルサインオンシステムを説明するための図である。 従来技術におけるユーザの本人性のスコアの算出例を説明するための図である。
次に、本発明を実施するための形態(以下、「本実施形態」と称する。)について説明する。
図1は、本実施形態に係る本人性認証システム1の全体構成を示す図である。
本実施形態に係る本人性認証システム1は、認証装置20および本人性スコア算出装置10により構成されるシングルサインオン(SSO)システムである。この本人性認証システム1の認証装置20が、ユーザの認証を受け付けることにより、Webサービスを提供するWebサーバ51や、社内システム52、クラウドサービス53等について、1度の認証によりユーザのアカウントを一元的に管理する。
また、本人性認証システム1は、アカウントに紐づくヒトの振る舞いに関する情報を、サービス利用環境(位置情報、利用時間、回線情報、ID情報など)および行動履歴からユーザの手間をかけずに収集する。例えば、ユーザの行動履歴の情報を、外部サーバ40(例えば、入退室管理サーバ等)から取得する。つまり、アカウントの認証チャネルとは別のチャネルの機器やシステム(アウトオブバンド)から、アカウントに紐づくヒトの振る舞いに関する情報を取得する。そして、取得したヒトの振る舞いに関する情報を、認証手法(後記する、「高度認証手法」)の選択の判断に利用する。
<概要および技術思想>
まず、本実刑形態に係る本人性認証システム1の概要と、上記した課題A~Dを解決する技術思想について説明する。
本実施形態に係る本人性認証システム1は、上記した課題Aを解決するため、運用中にWebサーバ51や、社内システム52、クラウドサービス53等にアクセスするユーザ全体の本人性の割合の傾向を評価する。つまり、個々のユーザの本人性ではなく、ユーザ全体の本人性の割合に着目する。また、上記した課題B,Cを解決するため、本人性認証システム1(本人性スコア算出装置10)は、Webサーバ51や社内システム52、クラウドサービス53等にアクセスするユーザの本人性を、装置の独自基準によらず、客観的な数値として確率で評価することを可能にする。また、上記した課題Dを解決するため、本人性認証システム1(本人性スコア算出装置10)は、Webサーバ51等のアカウントに紐づくヒトの振る舞いに関する観測可能な情報を用いて、Webサーバ51等にアクセスするユーザの本人性をスコアリングすることを可能にする。
上記した課題を解決するための本人性認証システム1の機能(および処理)に関する技術思想について説明する。
本実施形態に係る本人性認証システム1では、上記課題Aを解決するため、Webサーバ51や社内システム52、クラウドサービス53等にアクセスするユーザ全体における本人性の割合の傾向を評価する確率の推定値に基づいて、最適な強度の通常認証の手法を(自動的に)選択できるようにする。また、課題B,Cを解決するため、ユーザの本人性を、装置の独自基準によらず、客観的な数値として確率で評価できるようにする。また、課題Dを解決するため、Webサービス等のアカウントに紐づくヒトの振る舞いに関する観測可能な情報を用いて、Webサービス等にアクセスするユーザの本人性のスコアリングを可能にする。つまり、過去のサービス運用実績などの保守者の高度な知識や知見を不要とする。さらに、アカウントに紐づくヒトの振る舞いに関する情報を、サービス利用環境(位置情報、利用時間、回線情報、ID情報など)および行動履歴から、ユーザの手間をかけさせずに収集するものとする。
そして、本人性認証システム1は、ユーザ全体における本人性の確率の推定値に基づいて、最適な強度の通常認証の手法を(自動的に)選択できるようにする。
本人性認証システム1は、上記した課題A~Dを解決した上で、ユーザ全体における本人性の確率の推定値に基づいて、最適な通常認証の選択を可能にするため、以下の技術思想を導入する。
[技術思想1:非本人の割合を推定するための高度認証]
本人性認証システム1は、認証装置20が従来から行う通常認証と、非本人の割合を推定するための「高度認証」とを併用する。
ここで、通常認証とは、ユーザにアカウントの利用を許可するための手続きとして標準的な認証強度の認証であり、例えば、世の中で広く用いられている、ユーザIDとパスワードによる認証である。
本人性認証システム1では、通常認証の他に、ランダムにサンプリングしたユーザについて、アカウントにアクセスするユーザ群の中で本人でないユーザ(以下、「非本人」と称する。)の割合を推定するためのユーザ認証(以下、「高度認証」と称する。)を行う。
高度認証は、強度の高いユーザ認証を意味し、ユーザ本人であれば認証失敗することをほぼ抑止し(ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止し)、非本人であれば認証成功することほぼ抑止する(非本人であれば認証成功することを第2の所定レベル以下に抑止する)レベルの認証を意味する。
高度認証として、例えば、スマートカードや、SMS(Short Message Service)認証、利用時にロック解除や回線利用などを必要とするアウトオブバンドでの認証手法であり、多要素かつ暗号学的に十分な強度を持つ認証手法を用いる。
なお、本実施形態において、「多要素かつ暗号学的に十分な強度を持つ」という意味を、「ユーザ本人であれば認証失敗することをほぼ抑止する(ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止する)」、「非本人であれば認証成功することほぼ抑止する(非本人であれば認証成功することを第2の所定レベル以下に抑止する)」と同じ意味として用いる。
[技術思想2:複数の高度認証の中からユーザ本人が認証失敗することを抑止できる高度認証を選択]
本人性認証システム1は、高度認証の手法を複数用意しておき、アクセスするアカウントに紐づくヒトの振る舞いに関する情報に基づいて、ユーザ本人が認証失敗することを抑止できる高度認証を選択する。
図2で示すように、本人性認証システム1では、通常認証に加えて、複数の高度認証の手法(高度認証手法「1」~「n」)を備える。そして、アカウントにアクセス要求してきたユーザのうち、ランダムに選択したユーザについて、通常認証に加えて、複数の高度認証(高度認証手法「1」~「n」)のうちのいずれかの高度認証を選択して行う。この高度認証手法の選択は、アクセスするアカウントに紐づくヒト(ユーザ)の振る舞いに関する情報(後記する「振る舞い情報」)に基づき行われる(図2の符号x)。
高度認証手法の選択は、例えば、以下のように行われる。
(例1)アクセスするアカウントに紐づくヒトが、直近に、ID連携先の他のアカウントにマイナンバーカードを用いた何らかの認証を行いて成功していた場合、マイナンバーカードを用いた高度認証を選択する。
(例2)アクセスするアカウントに紐づくヒトが、直近に、予め登録済みの携帯端末からネットワークにアクセスしていた場合、SMSを用いた高度認証を選択する。
(例3)アクセスするアカウントに紐づくヒトが、オフィスに入室後であり、入出時にICカード機能を持つ社員証(スマートカード)でドア開閉を行った場合、スマートカードを用いた高度認証を選択する。
(例4)アクセスするアカウントに紐づくヒトが、在宅勤務を予定している場合、予め登録済みの自宅の回線IDを用いた高度認証を選択する。
このように、本人性認証システム1では、アクセスするアカウントに紐づいたヒトの振る舞い情報を記憶しておき、アクセスしてきたヒトのリアルタイムの振る舞いに基づいて、高度認証を選択する。ヒトの振る舞い情報を利用することで、本人が認証失敗することを抑止することができる。
[技術思想3:ユーザ全体における本人性の確率の推定値の算出手法]
本人性認証システム1では、以下に示す前提を用いて、ユーザ全体における本人性の確率の推定を行う。
(前提1)選択した高度認証手法では、本人はほぼ認証成功し(ユーザ本人であれば認証失敗することが第1の所定レベル以下であり)、非本人はほぼ認証を失敗する(非本人であれば認証成功することが第2の所定レベル以下である)。
(前提2)非本人によるアカウントへのアクセスは、アカウントの状態(利用中かどうか、利用しているユーザの位置情報や回線種別などの環境)には関わらない。つまり、技術思想2で示した高度認証手法の選択が、非本人の割合に関して恣意的にならないものとする。
(前提3)所定期間に認証要求してきた全ユーザ(母集団N2)から、ランダムにサンプリングしたユーザ群(N1)において、以下の割合は、母集団でのそれらの割合と近似できる。なお、(前提3)を実現するために(前提1)および(前提2)が必要となる。
ここで、図3で示すように、a1は、ユーザ群(N1)において、通常認証に成功し、選択した高度認証にも成功した本人の数を示す。c1は、ユーザ群(N1)において、通常認証に失敗し、選択した高度認証で成功した本人の数を示す。b1は、ユーザ群(N1)において、通常認証に成功し、選択した高度認証で失敗した非本人の数を示す。d1は、ユーザ群(N1)において、通常認証に失敗し、選択した高度認証でも失敗した非本人の数を示す。
また、a2は、母集団(N2)において、通常認証に成功した本人の数を示す。c2は、母集団(N2)において、通常認証に失敗した本人の数を示す。b2は、母集団(N2)において、通常認証に成功した非本人の数を示す。d2は、母集団(N2)において、通常認証に失敗した非本人の数を示す。
本人性認証システム1では、選択した高度認証手法に基づき、観測可能な以下の情報を収集する(図3参照)。
そして、本人性認証システム1は、母集団における、「非本人が通常認証に成功する割合β」、および、「全ユーザに対する非本人の割合γ」を、以下の式(1)および式(2)に基づき算出する。
この「非本人が通常認証に成功する割合β」(式(1))は、全アカウントを対象にして、所定期間内にアクセスしてきた非本人のうち、通常認証に成功する割合である。これは、1アカウント当たりで非本人が乗っ取った(認証に成功した)割合を示している。
また「全ユーザに対する非本人の割合γ」(式(2))は、1アカウント当たりの攻撃の割合を示している。
この式(1)、式(2)と、上記した観測可能なN2 (a+b)=a2+b2 …式(3)、および、N2 (c+d)=c2+d2 …式(4)とを用いて、連立方程式を解くことにより、a2、b2、c2、d2を求めることができる。
具体的には、本人性認証システム1は、母集団における、「通常認証に成功する本人の数a2」、「通常認証に成功する非本人の数b2」、「通常認証に失敗する本人の数c2」、「通常認証に失敗する非本人の数d2」を次の式により算出する。
そして、本人性認証システム1は、所定期間に通常認証に成功したユーザにおいては、本人である確率(PS P)(式(5))を用いて本人性を推定し、本人ではない確率(PS n)(式(6))を用いて本人性を推定する。
また、本人性認証システム1は、所定期間に通常認証に失敗したユーザにおいては、本人である確率(Pf P)(式(7))を用いて本人性を推定し、本人ではない確率(Pf n)(式(8))を用いて本人性を推定する。
本人性認証システム1は、所定期間にアクセスしてきた全ユーザにおいては、次の式(9)を用いて、本人である確率(Pt)を推定する。
このように、本人性認証システム1では、所定期間に通常認証に成功したユーザにおいては、本人である確率(PS P)を、式(5)を用いて本人性を推定することができる。
また、本人性認証システム1では、通常認証に失敗した場合も含めた本人である確率(Pt)を、式(9)を用いて本人性を推定することができる。
次に、本実施形態に係る本人性認証システム1を構成する、本人性スコア算出装置10および認証装置20について、具体的に説明する。
<本人性スコア算出装置>
図4は、本実施形態に係る本人性スコア算出装置10の構成例を示す機能ブロック図である。
本人性スコア算出装置10は、ユーザがユーザ端末3により、Webサーバ51等のアカウントにアクセスした際の通常認証および高度認証の結果を、認証装置20から取得し、アクセスしてきたユーザの本人性の確率を算出する。この本人性スコア算出装置10は、アクセスするアカウントに紐づくヒト(ユーザ)の振る舞いに関する情報として、サービス利用環境(位置情報、利用時間、回線情報、ID情報など)や、行動履歴等を、「振る舞い情報」と収集し、本人が認証失敗するのを抑止できる、高度認証の手法を選択する。
この本人性スコア算出装置10は、制御部11と、入出力部12と、記憶部13とを備えるコンピュータにより構成される。
入出力部12は、認証装置20や、振る舞い情報を取得するための外部サーバ40等との間の情報について入出力を行う。この入出力部12は、通信回線を介して情報の送受信を行う通信インタフェースと、図示を省略したキーボード等の入力装置やモニタ等の出力装置との間で情報の入出力を行う入出力インタフェースとから構成される。
記憶部13は、ハードディスクやフラッシュメモリ、RAM(Random Access Memory)等により構成される。
この記憶部13には、通常認証および高度認証の認証結果を格納する認証結果DB100(詳細は後記する図5参照)と、ユーザの振る舞いに関する情報(振る舞い情報)を格納する振る舞い情報DB200(詳細は後記する図6参照)と、通常認証および高度認証の結果を用いて算出された統計情報を格納する統計情報DB300(詳細は後記する図7参照)とを備える。
また、記憶部13には、制御部11の各機能を実行させるためのプログラムや、制御部11の処理に必要な情報が一時的に記憶される。
制御部11は、本人性スコア算出装置10が実行する処理の全般を司り、図4で示すように、認証結果収集部111と、振る舞い情報収集部112と、外部サーバ連携部113と、高度認証制御部114と、統計処理部115と、確率算出部116とを含んで構成される。
認証結果収集部111は、ユーザがアカウントにアクセスした際に、認証装置20により行われる通常認証、および、高度認証が行われた場合には、その高度認証の結果を、認証装置20から取得し、その認証結果の情報(認証結果情報110)を認証結果DB100に格納する。
図5は、本実施形態に係る認証結果DB100に格納される認証結果情報110のデータ構成例を示す図である。
認証結果情報110には、図5で示すように、各ユーザに固有なIDであるアカウント名に対応付けて、アカウントへのアクセス時刻、通常認証が成功か失敗かを示す通常認証結果、および、高度認証の結果を示す高度認証結果が格納される。
なお、高度認証結果は、高度認証が実行された場合に、「成功」または「失敗」が格納され、高度認証の対象とならたかった場合には、「未実施」が格納される。
図4に戻り、振る舞い情報収集部112は、ユーザのサービス利用環境に関する情報(アクセス情報)や、ユーザの行動履歴に関する情報(行動履歴情報)を取得し、振る舞い情報220として振る舞い情報DB200に格納する。
図6は、本実施形態に係る振る舞い情報DB200に格納される振る舞い情報220(アクセス情報221および行動履歴情報222)のデータ構成例を示す図である。
図6で示すように、アクセス情報221には、ユーザがアカウントへアクセスした際のサービス利用環境に関する情報として、各ユーザに固有なIDであるアカウント名に対応付けて、アクセス時刻、端末種別、位置等の情報が格納される。これ以外にも、端末種別が「スマホ」であれば、SMS認証に必要なスマホのアドレス情報や、端末種別が「PC」であり、在宅勤務であれば回線情報等が、ユーザのアカウント名に紐づけられて格納される。
なお、振る舞い情報収集部112は、このアクセス情報221を、認証装置20がユーザ端末3から収集した情報を受け取ることにより取得する。
また、振る舞い情報収集部112は、アウトオブバンドのシステムとしての外部サーバ40から、ユーザの行動履歴に関する情報(行動履歴情報222)を取得する。例えば、アウトオブバンドのシステムが、オフィス等の入退室管理システムである場合、外部サーバ連携部113を介して、外部サーバ40である入退室管理サーバから、図6で示すように、アカウントに紐づいたヒトの入退室時刻の情報(入退室管理情報)を取得し、振る舞い情報DB200に格納する。
外部サーバ連携部113は、ユーザ端末3とのチャネル(情報伝達経路)以外のチャネルから、ユーザの行動履歴を取得するための各種外部サーバ40との連携処理(アウトオブバンド連携処理)を行う。例えば、上記のように、入退室管理サーバとの間で、アカウントに紐づくヒトの入退室時間等の送受信を行うための要求メッセージや応答メッセージの生成処理等を行う。
高度認証制御部114は、所定期間内にアクセスしてきたユーザに対して、高度認証を行うか否かを判定する。高度認証制御部114は、上記した技術思想3の(前提2)を担保するため、通常認証を行ったユーザからランダムに高度認証を行うユーザを選択する。
また、高度認証制御部114は、高度認証を行うとしたユーザに関し、振る舞い情報220(図6)を用いて、サービス利用環境に関する情報であるアクセス情報221や行動履歴情報222と、複数の高度認証のうちのユーザが認証に成功する高度認証との対応関係を、所定のロジックに基づくプロファイル(分析結果)として保持しておく。
例えば、直前に、スマホからアクセスがあった場合には、高度認証として、SMS認証を用いるとのプロファイルが作成される。直前に、オフィスの入退室記録がある場合には、オフィスビル等の入退室管理情報に基づき、社員証等のスマートカードによる認証を用いるとのプロファイルが作成される。
高度認証制御部114は、高度認証を行うことに決定したユーザに対し、当該プロファイルを用いて、アカウントに紐づくヒト(ユーザ)であれば認証成功する高度認証の手法を決定する。
そして、高度認証制御部114は、そのアカウントに紐づくユーザについて決定した高度認証手法を、認証装置20に通知する。
統計処理部115は、所定期間にアクセスしてきた全ユーザについて、通常認証や各種の高度認証を行った結果としての統計値(ユーザ数)を算出し、統計情報310として、統計情報DB300に格納する。
図7は、本実施形態に係る統計情報DB300に格納される統計情報310のデータ構成例を示す図である。
図7で示すように、統計情報310は、各高度認証の手法ごとに、その高度認証の結果(成功/失敗)と、その高度認証を行ったユーザの通常認証の結果が対応付けられて格納される。また、高度認証が未実施のユーザについての通常認証の結果(成功/失敗)のユーザ数が格納される。
図4に戻り、確率算出部116は、統計情報DB300に格納された統計情報310を参照して、アカウントにアクセスしてきたユーザの本人性の確率を算出する。
確率算出部116は、所定期間に通常認証に成功したユーザにおいては、本人である確率(PS P)を、上記した式(5)を用いて算出する。
なお、確率算出部116は、通常認証に失敗した場合も含めた本人である確率(Pt)を、式(9)を用いて算出してもよい。
確率算出部116が、アカウントにアクセスしてきたユーザの本人性の確率の計算式として、式(5)および式(9)のどちらを用いるかは、予め決定しておく。そして、確率算出部116は、算出したユーザの本人性の確率(推定値)を、認証装置20に送信する。
<認証装置>
次に、本実施形態に係る認証装置20について説明する。
図8は、本実施形態に係る認証装置20の構成例を示す機能ブロック図である。
認証装置20は、強度の異なる複数種類の通常認証の手法(通常認証手法)と、複数種類の高度認証の手法(高度認証手法)とを備える。認証装置20は、ユーザ端末3からの認証要求を受け付け、予め設定しておいた通常認証を行うとともに、ユーザのサービス利用環境に関する情報(アクセス情報221)を取得する。そして、認証装置20は、通常認証の結果やアクセス情報221を、本人性スコア算出装置10へ送信する。また、認証装置20は、本人性スコア算出装置10から、高度認証を行うことに決定したユーザについて、決定した高度認証手法の情報を受け取り、その高度認証手法を行った上でその認証結果を本人性スコア算出装置10に送信する。
また、認証装置20は、本人性スコア算出装置10から、ユーザの本人性確率(推定値)の情報を取得し、非本人の割合の増加による脅威とユーザの利便性を考慮した、最適な通常認証手法を選択する。
この本人性スコア算出装置10は、制御部21と、入出力部22と、記憶部23とを備えるコンピュータにより構成される。
入出力部22は、本人性スコア算出装置10や、端末3、Webサーバ51,社内システム52、クラウドサービス53等との間の情報について入出力を行う。この入出力部22は、通信回線を介して情報の送受信を行う通信インタフェースと、図示を省略したキーボード等の入力装置やモニタ等の出力装置との間で情報の入出力を行う入出力インタフェースとから構成される。
記憶部23は、ハードディスクやフラッシュメモリ、RAM(Random Access Memory)等により構成される。
この記憶部23には、アクセスしてきたユーザの通常認証に必要な情報がユーザ情報DB400に格納される。例えば、アクセスしてきたユーザのアカウント名(ユーザID)とパスワードの情報や、ユーザ端末3のアドレス情報等が格納される。また、このユーザ情報DB400には、高度認証を行った際に認証のために必要な情報も格納される。なお、この高度認証のために必要な情報は、本人性スコア算出装置10の外部サーバ連携部113(図4)を介して外部サーバ40等から取得し、ユーザ情報DB400に格納しておいてもよい。
また、記憶部23には、制御部21の各機能を実行させるためのプログラムや、制御部21の処理に必要な情報が一時的に記憶される。
制御部21は、認証装置20が実行する処理の全般を司り、図8で示すように、アクセス情報取得部211と、認証処理部212と、通常認証選択部213と、認証制御部214と、一元情報管理部215とを含んで構成される。
アクセス情報取得部211は、ログイン要求を受け付けたユーザ端末3から、ユーザのサービス利用環境に関する情報(アクセス情報221)として、端末種別や位置情報等を取得する。そして、アクセス情報取得部211は、アクセス時刻(例えば、ログイン要求を受信した時刻)とともに、端末種別や位置情報等のアクセス情報221を、本人性スコア算出装置10へ送信する。
認証処理部212は、アカウントにアクセスしてきたユーザに対する、複数種類の通常認証手法と、複数種類の高度認証手法とを保持する。
認証処理部212は、アクセスしてきたユーザに対し、設定された通常認証手法により認証を行う。また、認証処理部212は、本人性スコア算出装置10から、高度認証を行うことに決定したユーザについて、決定した高度認証手法の情報を受け取り、複数の高度認証手段の中から、その高度認証手法を選択して認証を行う。
認証処理部212は、通常認証および高度認証の結果(成功/失敗)を、本人性スコア算出装置10へ送信する。
通常認証選択部213は、本人性スコア算出装置10から、ユーザの本人性の確率(推定値)を、所定期間ごとに取得する。そして、通常認証選択部213は、取得したユーザの本人性の確率に応じて、非本人の割合の増加による脅威と、ユーザの利便性を考慮して、複数の通常認証手法から最適な通常認証手法を選択する。
図9で示すように、通常認証手法は、強度の高い通常認証手法「1」~強度の低い(標準の)通常認証手法「n」まで、段階的に設定されている。そして、通常認証選択部213は、本人性スコア算出装置10から、ユーザの本人性の確率の推定値を取得すると、例えば、ユーザの本人性の確率の推定値が、所定の閾値以上である場合には、ユーザの利便性を考慮した標準的な通常認証手法(例えば、通常認証手法「n」)を選択する。標準的な通常認証手法「n」は、例えば、ユーザIDとパスワードによる認証である。一方、通常認証選択部213は、ユーザの本人性の確率の推定値が、所定の閾値よりも低い場合には、ユーザの利便性を犠牲にして、比較的強度の高い通常認証手法(例えば、通常認証手法「1」)を選択する。比較的強度の高い通常認証手法「1」は、例えば、生体認証や2段階認証である。
通常認証選択部213は、選択した通常認証手法の情報を、認証処理部212に通知することにより、通常認証手法の設定を行う。
図8に戻り、認証制御部214は、例えば、RADIUS(Remote Authentication Dial In User Service)等のユーザ認証プロトコルに基づき、ユーザ端末3との間で認証処理を実行する。
一元情報管理部215は、例えば、LDAP(Lightweight Directory Access Protocol)を用いることにより、1つのIDとパスワードで、複数のサービスを利用可能にするシングルサインオン(SSO)を実現する。
≪処理の流れ≫
次に、本実施形態に係る本人性認証システム1が実行する処理の流れについて説明する。
図10は、本人性認証システム1が実行する処理の流れを示すシーケンス図である。
なお、ここでは、外部サーバ40から取得する行動履歴情報222として、オフィス等の入退室管理システムからの情報を取得するものとして説明する。つまり、外部サーバ40である入退室管理サーバから、本人性スコア算出装置10が、図6の行動履歴情報222で示すような、アカウントに紐づいたヒトの入退室時刻の情報(入退室管理情報)を取得するものとして説明する。
入退室管理システムでは、例えば次のように、ユーザの入退出を管理している。
アカウントに紐づくヒトがオフィスに出社すると、ICカード機能を持つ社員証(スマートカード)を用いてフラッパーゲート等を通過することにより入室する。入退室管理サーバは、社員証から、入室したユーザのIDと入出時刻を取得して、自サーバに記録する。このようにして、入退室管理サーバでは、ユーザの行動履歴情報222を記録しておく。
そして、先ず、ユーザがユーザ端末3(例えば、PC)を用いて、Webサービスを利用するために、Webサーバ51にアクセスしてログイン要求を行う。
Webサーバ51は、ユーザを認証するために、ユーザ端末3を経由して、認証装置20にリダイレクトする。
認証装置20は、ログイン要求のリダイレクトを受け取ると(ステップS10)、アクセス情報取得部211が、ユーザのサービス利用環境に関する情報(アクセス情報221)として、端末種別や位置情報等をユーザ端末3から取得する(ステップS11)。そして、アクセス情報取得部211は、アクセス時刻(例えば、ログイン要求を受信した時刻)とともに、端末種別や位置情報等のアクセス情報221を、本人性スコア算出装置10へ送信する。
そして、本人性スコア算出装置10の振る舞い情報収集部112は、認証装置20からアクセス情報221を取得し、振る舞い情報DB200に格納する(ステップS12)。
続いて、認証装置20の認証処理部212は、所定(初期設定)の通常認証手法により、アクセスしてきたユーザに関する通常認証を実行する(ステップS13)。そして、認証処理部212は、その通常認証の結果(成功/失敗)を、本人性スコア算出装置10へ送信する。
本人性スコア算出装置10の認証結果収集部111は、その通常認証の結果を取得すると、認証結果DB100に、認証結果情報110(図5)として格納する(ステップS14)。
次に、本人性スコア算出装置10の高度認証制御部114は、所定期間内にアクセスしてきたユーザに対して、通常認証に加えて、高度認証を行うか否かを決定する(ステップS15)。高度認証制御部114は、高度認証を行うユーザか否かをランダムに決定する。
高度認証を行うユーザについて、本人性スコア算出装置10の振る舞い情報収集部112は、ユーザの行動履歴に関する情報(行動履歴情報222)を外部サーバ40から取得し(ステップS16)、振る舞い情報DB200に格納する。
ここでは、振る舞い情報収集部112は、入退出管理サーバ(外部サーバ40)から、アカウントに紐づいたヒトの入退室時刻の情報(入退室管理情報)を、行動履歴情報222として取得する。
次に、本人性スコア算出装置10の高度認証制御部114は、高度認証を行うとしたユーザに関し、振る舞い情報220(図6)を参照し、アカウントに紐づくヒト(ユーザ)であれば認証成功する高度認証の手法を決定する(ステップS17)。そして、高度認証制御部114は、そのユーザに関する高度認証の要否(ここでは、「要」)と、決定した高度認証手法とを、認証装置20へ通知する。
ここで、高度認証制御部114は、行動履歴情報222(入退室管理情報)を参照することにより、例えば、図6の符号yで示すように、入室時刻はあるが、退室時刻の記録がない場合、つまり、オフィス内にユーザがいると推定される場合に、アカウントに紐づくヒトであれば成功する高度認証手法として、社員証(スマートカード)を用いた高度認証に決定する。
認証装置20の認証処理部212は、該当するユーザに対し、通知された高度認証手法により、高度認証を実行する(ステップS18)。ここでは、認証処理部212は、ユーザに対し社員証を用いた高度認証を行う。
そして、認証処理部212による高度認証が成功したユーザに対して、認証制御部214および一元情報管理部215による制御により、Webサーバ51に対して、アカウントのログインを許可する。
続いて、認証装置20の認証処理部212は、その高度認証の結果(成功/失敗)を、本人性スコア算出装置10へ送信する。
そして、本人性スコア算出装置10の認証結果収集部111は、その高度認証の結果を取得すると、認証結果DB100に、認証結果情報110(図5)として格納する(ステップS19)。
次に、本人性スコア算出装置10の統計処理部115は、所定期間にアクセスしてきた全ユーザについて、通常認証や各種の高度認証を行った結果としての統計値(ユーザ数)を算出し、統計情報310(図7)として、統計情報DB300に格納する。
続いて、本人性スコア算出装置10の確率算出部116は、統計情報310(図7)を用いて、高度認証未実施を含む全ユーザにおける本人性の確率を計算する(ステップS20)。
ここで、確率算出部116は、所定期間に通常認証に成功したユーザにおいては、本人である確率(PS P)を、上記した式(5)を用いて算出する。
確率算出部116は、例として、図7で示す統計情報310を参照することにより、本人である確率(PS P)を、式(5)を用いて計算すると、以下のスコア(推定値)となる。
ここで、β1=(2+3)/(2+10+3+9)=5/24である。γ1=(2+10+3+9)/(80+50)=24/130である。N2=80+50+1000=1130である。
また、他の例として、確率算出部116は、通常認証に失敗した場合も含めた本人である確率(Pt)を、式(9)を用いて算出する。
確率算出部116は、例として、図7で示す統計情報310を参照することにより、本人である確率(Pt)を、式(9)を用いて計算すると、以下のスコアとなる。
そして、確率算出部116は、算出したアカウントにアクセスしてきたユーザの本人性の確率を、認証装置20に送信する。
認証装置20の通常認証選択部213は、本人性スコア算出装置10から、ユーザの本人性の確率の推定値を、所定期間ごとに取得する。そして、通常認証選択部213は、取得したユーザの本人性の確率の推定値に応じて、複数種類の通常認証手法から最適な通常認証手法を選択する(ステップS21)。
例えば、通常認証選択部213は、ユーザの本人性の確率の推定値が、所定の閾値以上である場合には、ユーザの利便性を考慮した標準的な通常認証手法(例えば、通常認証手法「n」)を選択する。一方、通常認証選択部213は、ユーザの本人性の確率の推定値が、所定の閾値よりも低い場合には、ユーザの利便性を犠牲にして、比較的強度の高い通常認証手法(例えば、通常認証手法「1」)を選択する。
通常認証選択部213は、選択した通常認証手法の情報を、認証処理部212に通知することにより、通常認証手法の設定を行う(ステップS22)。
なお、通常認証選択部213は、「通常認証に成功したユーザの本人性の確率」(式(5))により算出された推定値を用いる場合には、通常認証に成功したユーザの中に非本人が含まれる割合から脅威を評価して通常認証を選択する。一方、「通常認証に失敗したユーザも含めた場合の本人性の確率」(式(9))により算出された推定値を用いる場合において、通常認証に失敗したユーザの中に本人が含まれる割合が多いときには、ユーザの利便性の観点から、上記脅威を考慮しつつ、強度が比較的高い通常認証手法から標準的な強度の通常認証手法に変更する。
このようにすることにより、本実施形態に係る本人性認証システム1によれば、所定期間にアクセスしてきたユーザ全体における本人性の推定値に基づいて、最適な認証手法を選択することができる。
<変形例>
本実施形態に係る本人性認証システム1の本人性スコア算出装置10(高度認証制御部114)は、通常認証に加えて高度認証を行うユーザをランダムに決定し、その決定したユーザであれば認証成功する高度認証手法を決定して、認証装置20へ通知していた。
これに対し、本人性スコア算出装置10の変形例では、ランダムに決定した高度認証を行うユーザに関し、高度認証制御部114が、認証結果DB100を参照し、通常認証に失敗しているユーザに関しては、高度認証を行わないように制御する。
上記したように、所定期間に通常認証に成功したユーザにおいては、本人である確率(PS P)(式(5))を用いて本人性を推定し、本人ではない確率(PS n)(式(6))を用いて本人性を推定する。
ここで、β1γ1は、下記の式(10)で表すことができる。
式(10)のうち、(x1+z1)は、ランダムにサンプリングしたユーザ群の数(N1=x1+z1)である。また、(z1´)は、ユーザ群の中で通常認証に成功し、かつ高度認証に失敗した数(z1´)である。これらの数は、ユーザ群の中で、通常認証の成功したユーザについてのみ高度認証を行えば観測可能となるものである。
なお、ランダムにサンプリングするユーザには、N1を求めるために、通常認証に失敗したユーザも含めるものとする。しかしながら、変形例の高度認証制御部114では、通常認証に失敗したユーザについては、サンプリングしても高度認証を行わないように制御する。このようにしても、確率算出部116は、ユーザ全体における本人性の推定値を算出することができる。
<ハードウェア構成>
本実施形態に係る本人性スコア算出装置10および認証装置20は、例えば図11に示すような構成のコンピュータ900によって実現される。
図11は、本実施形態に係る本人性スコア算出装置10および認証装置20の機能を実現するコンピュータ900の一例を示すハードウェア構成図である。コンピュータ900は、CPU(Central Processing Unit)901、ROM(Read Only Memory)902、RAM903、HDD(Hard Disk Drive)904、入出力I/F(Interface)905、通信I/F906およびメディアI/F907を有する。
CPU901は、ROM902またはHDD904に記憶されたプログラムに基づき作動し、制御部による制御を行う。ROM902は、コンピュータ900の起動時にCPU901により実行されるブートプログラムや、コンピュータ900のハードウェアに係るプログラム等を記憶する。
CPU901は、入出力I/F905を介して、マウスやキーボード等の入力装置910、および、ディスプレイやプリンタ等の出力装置911を制御する。CPU901は、入出力I/F905を介して、入力装置910からデータを取得するともに、生成したデータを出力装置911へ出力する。なお、プロセッサとしてCPU901とともに、GPU(Graphics Processing Unit)等を用いても良い。
HDD904は、CPU901により実行されるプログラムおよび当該プログラムによって使用されるデータ等を記憶する。通信I/F906は、通信網(例えば、NW(Network)920)を介して他の装置からデータを受信してCPU901へ出力し、また、CPU901が生成したデータを、通信網を介して他の装置へ送信する。
メディアI/F907は、記録媒体912に格納されたプログラムまたはデータを読み取り、RAM903を介してCPU901へ出力する。CPU901は、目的の処理に係るプログラムを、メディアI/F907を介して記録媒体912からRAM903上にロードし、ロードしたプログラムを実行する。記録媒体912は、DVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto Optical disk)等の光磁気記録媒体、磁気記録媒体、半導体メモリ等である。
例えば、コンピュータ900が本発明の本人性スコア算出装置10および認証装置20として機能する場合、コンピュータ900のCPU901は、RAM903上にロードされたプログラムを実行することにより、本人性スコア算出装置10および認証装置20の機能を実現する。また、HDD904には、RAM903内のデータが記憶される。CPU901は、目的の処理に係るプログラムを記録媒体912から読み取って実行する。この他、CPU901は、他の装置から通信網(NW920)を介して目的の処理に係るプログラムを読み込んでもよい。
<効果>
以下、本発明に係る本人性認証システム1等の効果について説明する。
本発明に係る本人性認証システムは、ユーザの本人性を示すスコアを算出する本人性スコア算出装置10と、ユーザ認証を行う認証装置20とを備える本人性認証システム1であって、認証装置20が、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第2の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、本人性スコア算出装置10が、ユーザがユーザ端末3によりアカウントにアクセスしたサービス利用環境を示すアクセス情報221と、ユーザの行動履歴情報222とを示す振る舞い情報220を収集する振る舞い情報収集部112と、認証装置20から、通常認証および高度認証の成功または失敗を示す認証結果情報110を収集する認証結果収集部111と、所定期間内にアカウントにアクセスしてきたユーザに対して、通常認証に加えて高度認証を実行するか否かを判定し、高度認証を実行すると判定したユーザに関し、複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止する高度認証手段を、振る舞い情報220を参照して決定し、高度認証を実行すると判定したユーザについて決定した高度認証手段を、認証装置20に通知する高度認証制御部114と、認証結果情報110から得られる、通常認証の成功および失敗のユーザ数、高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部116と、を備え、認証装置20が、アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、本人性スコア算出装置10から通知された高度認証手段により、高度認証を実行すると判定したユーザに対し高度認証を実行し、通常認証および高度認証の認証結果情報を本人性スコア算出装置10に送信する認証処理部212を備えることを特徴とする。
このようにすることで、本人性認証システム1は、アカウントにアクセスしてくるユーザ全体における本人性を、装置の独自基準や製品ごとに異なるノウハウによらずに、観測可能な情報を用いて、客観的な数値としての確率で算出することができる。
つまり、非本人によるアカウントへのアクセスの割合を評価することができるため、不正アクセスの増加等が発生した際において、本人性をスコア化する他の製品や装置に関する独自の高度なノウハウ等が不要となる。また、アカウントに紐づくヒトに関する観測可能な情報(通常認証および高度認証の認証結果)を用いて、ユーザの本人性を確率として数値化するため、過去のサービス運用実績などの保守者の高度な知識や知見を不要とすることができる。
また、本人性認証システム1は、本人性スコア算出装置10の確率算出部116が、算出した本人性の確率を、所定期間ごとに認証装置20に送信し、認証装置20が、本人性スコア算出装置10から取得した本人性の確率に応じて、複数種類の通常認証手段の中から、新たに設定する所定の通常認証手段を選択する通常認証選択部213を備えること を特徴とする。
このようにすることにより、本人性認証システム1は、所定期間にアクセスしてきたユーザ全体における本人性の確率に基づいて、ユーザの利便性とセキュリティを考慮した最適な強度の通常認証手法を選択することができる。
また、本人性認証システムは、所定期間ごとに算出した本人性の確率に応じて、保守者の介在なしに(自動で)、最適な通常認証手法を選択することが可能となる。
また、本人性認証システム1は、確率算出部116が、アカウントにアクセスしてきたユーザの本人性の確率として、所定期間に通常認証に成功したユーザが、ユーザ本人である確率を算出することを特徴とする。
これにより、本人性認証システム1は、通常認証に成功したユーザに関し、本人性を推定することができる。具体的には、本人性認証システム1は、上記した式(5)を用いて、通常認証に成功したユーザに関し、本人性である確率を算出することができる。よって、本人性認証システム1は、通常認証に成功したユーザの中に非本人が含まれる割合から脅威を評価して通常認証手法を選択することが可能となる。
また、本人性認証システム1は、高度認証制御部114が、通常認証に加えて高度認証を実行すると判定したユーザに関し、認証結果情報を参照し、当該ユーザに関する通常認証が失敗である場合に、認証装置に対する高度認証手段の通知を行わないことを特徴とする。
これにより、本人性認証システム1は、通常認証の認証結果を参照し、通常認証が失敗している場合には、高度認証を実行すると判定されたユーザであっても、実行する高度認証手段を決定せず、認証装置に対して通知を行わないようにすることができる。
よって、通常認証に成功したユーザに関して本人性の確率を算出する場合に、認証装置において、本人性の算出に不要な、通常認証に失敗したユーザに対する高度認証を実行しないようにし、認証装置の処理負荷を低減させることができる。
また、本人性認証システム1は、確率算出部116が、アカウントにアクセスしてきたユーザの本人性の確率として、所定期間に通常認証に失敗したユーザも含めた、ユーザ全体におけるユーザ本人である確率を算出することを特徴とする。
これにより、本人性認証システム1は、所定期間に通常認証に失敗したユーザも含めた、ユーザ全体におけるユーザ本人である確率を算出することができる、具体的には、本人性認証システム1は、上記した式(9)を用いて、通常認証に失敗したユーザも含めた、ユーザ全体におけるユーザ本人である確率を算出でき、通常認証に失敗したユーザの中に本人が含まれる割合が多いときには、ユーザの利便性の観点から、上記脅威を考慮しつつ、強度が比較的高い通常認証手法から標準的な強度の通常認証手法に変更する等の設定変更を行うことができる。
本発明に係る本人性スコア算出装置は、ユーザ認証を行う認証装置20に接続され、ユーザの本人性を示すスコアを算出する本人性スコア算出装置10であって、認証装置20が、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第2の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、本人性スコア算出装置10が、ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報221と、ユーザの行動履歴情報222とを示す振る舞い情報220を収集する振る舞い情報収集部112と、認証装置20から、通常認証および高度認証の成功または失敗を示す認証結果情報110を収集する認証結果収集部111と、所定期間内にアカウントにアクセスしてきたユーザに対して、通常認証に加えて高度認証を実行するか否かを判定し、高度認証を実行すると判定したユーザに関し、複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止する高度認証手段を、振る舞い情報220を参照して決定し、高度認証を実行すると判定したユーザについて決定した高度認証手段を、認証装置20に通知する高度認証制御部114と、認証結果情報110から得られる、通常認証の成功および失敗のユーザ数、高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部116と、を備えることを特徴とする。
このようにすることにより、本人性スコア算出装置10は、アカウントにアクセスしてくるユーザ全体における本人性を、装置の独自基準や製品ごとに異なるノウハウによらずに、観測可能な情報を用いて、客観的な数値としての確率で算出することができる。
本発明に係る認証装置は、ユーザの本人性を示すスコアを算出する本人性スコア算出装置10に接続され、ユーザ認証を行う認証装置20であって、認証装置20は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第2の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、認証装置20は、アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、本人性スコア算出装置から通知された高度認証手段により、高度認証を実行すると判定したユーザに対し高度認証を実行し、通常認証および高度認証の成功または失敗を示す認証結果情報を本人性スコア算出装置10に送信する認証処理部212と、本人性スコア算出装置10から取得した本人性の確率に応じて、複数種類の通常認証手段の中から、新たに設定する通常認証手段を選択する通常認証選択部213と、を備えることを特徴とする。
このようにすることにより、認証装置は、所定期間にアクセスしてきたユーザ全体における本人性の確率に基づいて、ユーザの利便性とセキュリティを考慮した最適な強度の通常認証手法を選択することができる。
また、認証装置は、所定期間ごとに算出した本人性の確率に応じて、保守者の介在なしに(自動で)、最適な通常認証手法を選択することが可能となる。
なお、本発明は、以上説明した実施形態に限定されるものではなく、多くの変形が本発明の技術的思想内で当分野において通常の知識を有する者により可能である。
1 本人性認証システム
3 ユーザ端末
10 本人性スコア算出装置
20 認証装置
40 外部サーバ
51 Webサーバ
52 社内システム
53 クラウドサービス
11,21 制御部
12,22 入出力部
13,23 記憶部
100 認証結果DB
110 認証結果情報
111 認証結果収集部
112 振る舞い情報収集部
113 外部サーバ連携部
114 高度認証制御部
115 統計処理部
116 確率算出部
200 振る舞い情報DB
211 アクセス情報取得部
212 認証処理部
213 通常認証選択部
214 認証制御部
215 一元情報管理部
220 振る舞い情報
221 アクセス情報
222 行動履歴情報
300 統計情報DB
400 ユーザ情報DB

Claims (10)

  1. ユーザの本人性を示すスコアを算出する本人性スコア算出装置と、ユーザ認証を行う認証装置とを備える本人性認証システムであって、
    前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第2の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
    前記本人性スコア算出装置は、
    ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集する振る舞い情報収集部と、
    前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集する認証結果収集部と、
    所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知する高度認証制御部と、
    前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部と、を備え、
    前記認証装置は、
    前記アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、前記本人性スコア算出装置から通知された高度認証手段により、前記高度認証を実行すると判定したユーザに対し高度認証を実行し、前記通常認証および前記高度認証の前記認証結果情報を前記本人性スコア算出装置に送信する認証処理部を備えること
    を特徴とする本人性認証システム。
  2. 前記本人性スコア算出装置の確率算出部は、算出した前記本人性の確率を、前記所定期間ごとに前記認証装置に送信し、
    前記認証装置は、
    前記本人性スコア算出装置から取得した前記本人性の確率に応じて、前記複数種類の通常認証手段の中から、新たに設定する前記所定の通常認証手段を選択する通常認証選択部を備えること
    を特徴とする請求項1に記載の本人性認証システム。
  3. 前記確率算出部は、前記アカウントにアクセスしてきたユーザの本人性の確率として、所定期間に前記通常認証に成功したユーザが、ユーザ本人である確率を算出すること
    を特徴とする請求項1または請求項2に記載の本人性認証システム。
  4. 前記高度認証制御部は、前記通常認証に加えて前記高度認証を実行すると判定したユーザに関し、前記認証結果情報を参照し、当該ユーザに関する通常認証が失敗である場合に、前記認証装置に対する前記高度認証手段の通知を行わないこと
    を特徴とする請求項3に記載の本人性認証システム。
  5. 前記確率算出部は、前記アカウントにアクセスしてきたユーザの本人性の確率として、所定期間に前記通常認証に失敗したユーザも含めた、ユーザ全体における、ユーザ本人である確率を算出すること
    を特徴とする請求項1または請求項2に記載の本人性認証システム。
  6. ユーザの本人性を示すスコアを算出する本人性スコア算出装置と、ユーザ認証を行う認証装置とを備える本人性認証システムの本人性認証方法であって、
    前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第2の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
    前記認証装置は、
    アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行し、通常認証の成功または失敗を示す認証結果情報を前記本人性スコア算出装置に送信するステップを実行し、
    前記本人性スコア算出装置は、
    前記認証装置から、前記通常認証についての前記認証結果情報を収集するステップと、
    ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集するステップと、
    所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知するステップと、を実行し、
    前記認証装置は、
    前記本人性スコア算出装置から通知された高度認証手段により、前記高度認証を実行すると判定したユーザに対し高度認証を実行し、当該高度認証の前記認証結果情報を前記本人性スコア算出装置に送信するステップを実行し、
    前記本人性スコア算出装置は、
    前記認証装置から、前記高度認証についての前記認証結果情報を収集するステップと、
    前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出するステップと、を実行すること
    を特徴とする本人性認証方法。
  7. ユーザ認証を行う認証装置に接続され、ユーザの本人性を示すスコアを算出する本人性スコア算出装置であって、
    前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第2の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
    前記本人性スコア算出装置は、
    ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集する振る舞い情報収集部と、
    前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集する認証結果収集部と、
    所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知する高度認証制御部と、
    前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部と、
    を備えることを特徴とする本人性スコア算出装置。
  8. ユーザの本人性を示すスコアを算出する本人性スコア算出装置に接続され、ユーザ認証を行う認証装置であって、
    前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第1の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第2の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
    前記認証装置は、
    アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、前記本人性スコア算出装置から通知された高度認証手段により、前記高度認証を実行すると判定したユーザに対し高度認証を実行し、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を前記本人性スコア算出装置に送信する認証処理部と、
    前記本人性スコア算出装置から取得した前記本人性の確率に応じて、前記複数種類の通常認証手段の中から、新たに設定する前記通常認証手段を選択する通常認証選択部と、
    を備えることを特徴とする認証装置。
  9. コンピュータを、請求項7に記載の本人性スコア算出装置として機能させるためのプログラム。
  10. コンピュータを、請求項8に記載の認証装置として機能させるためのプログラム。
JP2024530109A 2022-06-28 2022-06-28 本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラム Active JP7740552B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/025659 WO2024004011A1 (ja) 2022-06-28 2022-06-28 本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラム

Publications (2)

Publication Number Publication Date
JPWO2024004011A1 JPWO2024004011A1 (ja) 2024-01-04
JP7740552B2 true JP7740552B2 (ja) 2025-09-17

Family

ID=89382219

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2024530109A Active JP7740552B2 (ja) 2022-06-28 2022-06-28 本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラム

Country Status (2)

Country Link
JP (1) JP7740552B2 (ja)
WO (1) WO2024004011A1 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017111703A (ja) 2015-12-18 2017-06-22 日本電信電話株式会社 認証手段選択装置、認証手段選択方法、およびプログラム
JP2019109556A (ja) 2017-12-15 2019-07-04 株式会社日立製作所 行動履歴を用いた本人認証方法
JP2020107218A (ja) 2018-12-28 2020-07-09 キヤノンマーケティングジャパン株式会社 情報処理装置、その制御方法とプログラム
US20200302042A1 (en) 2019-03-19 2020-09-24 Cirrus Logic International Semiconductor Ltd. Biometric processes, apparatus and machine-readable mediums
WO2021261267A1 (ja) 2020-06-26 2021-12-30 ソニーグループ株式会社 情報処理装置、情報処理方法、情報処理プログラム、および、情報処理システム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017111703A (ja) 2015-12-18 2017-06-22 日本電信電話株式会社 認証手段選択装置、認証手段選択方法、およびプログラム
JP2019109556A (ja) 2017-12-15 2019-07-04 株式会社日立製作所 行動履歴を用いた本人認証方法
JP2020107218A (ja) 2018-12-28 2020-07-09 キヤノンマーケティングジャパン株式会社 情報処理装置、その制御方法とプログラム
US20200302042A1 (en) 2019-03-19 2020-09-24 Cirrus Logic International Semiconductor Ltd. Biometric processes, apparatus and machine-readable mediums
WO2021261267A1 (ja) 2020-06-26 2021-12-30 ソニーグループ株式会社 情報処理装置、情報処理方法、情報処理プログラム、および、情報処理システム

Also Published As

Publication number Publication date
WO2024004011A1 (ja) 2024-01-04
JPWO2024004011A1 (ja) 2024-01-04

Similar Documents

Publication Publication Date Title
JP4985773B2 (ja) 利用者認証装置、利用者認証方法および利用者認証プログラム
US10243935B2 (en) User authentication based on tracked activity
KR102024142B1 (ko) 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템
US11399045B2 (en) Detecting fraudulent logins
US7743153B2 (en) Killing login-based sessions with a single action
US20210084062A1 (en) Method and Apparatus for Network Fraud Detection and Remediation Through Analytics
US9038134B1 (en) Managing predictions in data security systems
US8193904B2 (en) Entry and exit control apparatus and entry and exit control method
US9754209B1 (en) Managing knowledge-based authentication systems
WO2017196609A1 (en) User authentication and access control using identity services
RU2622883C2 (ru) Система и способ управления доступом к персональным данным пользователя
EP2545680A2 (en) Behavior-based security system
EP3835980A1 (en) Adaptive user authentication
CN111756721B (zh) 一种关联认证方法、装置、iam服务器及可读存储介质
CN106656917B (zh) 一种账户权限的管理方法及设备
CN111814121B (zh) 一种基于计算机系统的登录鉴权管理系统及方法
JP7740552B2 (ja) 本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラム
CN116012991A (zh) 一种场所访问管理的方法、装置及相关设备
JP6842951B2 (ja) 不正アクセス検出装置、プログラム及び方法
JP2017072979A (ja) 認証システム、認証サーバ、事業者サーバ及び利用者端末
WO2024116394A1 (ja) 本人性スコア算出装置、本人性認証システム、本人性認証方法、および、プログラム
WO2024252497A1 (ja) 本人性スコア算出装置、本人性認証方法、本人性認証システム、および、プログラム
CN113129491B (zh) 智慧社区楼宇对讲系统门禁凭证快速同步方法及系统
KR20000059245A (ko) 생체정보 저장 시스템 및 이를 이용한 인터넷 이용자 인증방법
JP2004013865A (ja) 連想記憶による本人認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20241205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250805

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250818

R150 Certificate of patent or registration of utility model

Ref document number: 7740552

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150