WO2024004011A1

WO2024004011A1 - 本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラム

Info

Publication number: WO2024004011A1
Application number: PCT/JP2022/025659
Authority: WO
Inventors: 芳彦大森; 高生山下
Original assignee: 日本電信電話株式会社
Priority date: 2022-06-28
Filing date: 2022-06-28
Publication date: 2024-01-04

Abstract

本人性認証システム（１）は、本人性スコア算出装置（１０）と認証装置（２０）とを備える。本人性スコア算出装置（１０）は、アクセス情報と行動履歴を振る舞い情報として収集する振る舞い情報収集部と、通常認証に加えて高度認証を実行すると判定したユーザについて、振る舞い情報に基づき高度認証手法を決定する高度認証制御部と、認証結果情報を用いて本人性の確率を算出する確率算出部を備える。認証装置（２０）は、通常認証および高度認証を実行し、認証結果情報を、本人性スコア算出装置（１０）へ送信する認証処理部を備える。

Description

本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラム

　本発明は、Ｗｅｂサービスやオンラインシステムのアカウントにアクセスするユーザが正規のユーザであるかを定量的に推定する、本人性認証システム、本人性認証方法、本人性スコア算出装置、認証装置、および、プログラムに関する。

　ユーザにとって、便利なログイン手法として、シングルサインオン（ＳＳＯ：Single Sign On）システムが知られている。シングルサインオンとは、１度のユーザ認証によって複数のシステム（Ｗｅｂサービスや社内システム、クラウドサービス等）の利用が可能となる仕組みを意味する。

　例えば、図１２に示すような非特許文献１に記載のシングルサインオンシステム１ａでは、ユーザの振る舞いに関する情報を収集して、本人性スコア算出機能（図１２の本人性スコア算出装置１０ａ）において、ユーザの本人性のスコアを算出する。ユーザの振る舞いに関する情報としては、ユーザのアカウントへのアクセス時刻、利用している端末やデバイス、アクセス時の位置情報などがある。
　また、シングルサインオンシステム１ａの認証機能（図１２の認証装置２０ａ）が、本人性スコア算出装置１０ａが算出した、ユーザの本人性のスコアに基づいて、本人性の低い（スコアの高い）ユーザに対しては、２段階認証などの厳格な認証を行ってから、アカウントへのアクセスを許可する。
　なお、本明細書において「本人性」とは、アカウントにアクセスしてくるユーザが、そのアカウントに紐づく真のユーザ（本人）であることの信頼性を意味する。

　図１２で示すシングルサインオンシステム１ａにおける本人認証の処理の流れについて説明する。なお、ここでは、シングルサインオン（以下、「ＳＳ０」と記載することがある。各図も同様。）を利用するシステムとして、Ｗｅｂサーバ５１、社内システム５２、クラウドサービス５３等をユーザが利用する環境において、Ｗｅｂサーバ５１に対しアクセスする例として説明する。

　（ステップＳ１）まず、ユーザはユーザ端末３を用いてＷｅｂサービスを利用するために、Ｗｅｂサーバ５１にアクセスしてログイン要求する。
　（ステップＳ２）Ｗｅｂサーバ５１は、ユーザを認証するために、ユーザ端末３を経由して、シングルサインオンシステム１ａにリダイレクトする。

　（ステップＳ３）シングルサインオンシステム１ａの認証装置２０ａは、ユーザ端末３から、ユーザの振る舞い情報として、位置情報、端末種別（デバイス情報）を取得する。
　（ステップＳ４）認証装置２０ａは、位置情報、端末種別（デバイス情報）を、アクセス時刻とともに、本人性スコア算出装置１０ａに送信する。

　（ステップＳ５）本人性スコア算出装置１０ａは、認証装置２０ａから取得した、位置情報、端末種別（デバイス情報）、アクセス時刻を、ユーザ振る舞い情報テーブルに格納する。そして、本人性スコア算出装置１０ａは、位置情報、端末種別（デバイス情報）、アクセス時刻ごとの過去のアクセス時の情報との差分に基づいてスコアを算出し記録する。

　この本人性スコア算出装置１０ａが算出するユーザの本人性のスコアは、ユーザの振る舞い情報の項目ごとに、取得したユーザ振る舞い情報に基づきアカウントにアクセスしようとしているユーザがアカウントの所有者であるかを推定し、数値で評価するものである。そして、本人性のスコアの算出では、過去のアクセス時の情報との差分が大きいほど、スコアが大きい値とする。例えば、位置情報では、いつもと異なるエリアからの接続ほどスコアの値を大きくする。端末種別（デバイス情報）では、いつもと異なるデバイスでの接続ほど、スコアの値を大きくする。アクセス時刻では、いつもと異なる時刻にアクセスした場合ほど、スコアの値を大きくする。本人性スコア算出装置１０ａは、図１３で示すように、ユーザの振る舞い情報の項目ごとに評価した数値を合算した値を、ユーザの本人性のスコアとして算出し記憶する。

　（ステップＳ６）本人性スコア算出装置１０ａは、算出したユーザの本人性のスコアを、認証装置２０ａに送信する。
　（ステップＳ７）認証装置２０ａは、本人性のスコアが、予め設定された閾値を超えている場合には、２段階認証を実行してユーザを認証する。また、閾値を超えていない場合、認証装置２０ａは、デフォルトの認証手法によりユーザを認証する。
　このようにして、シングルサインオンシステム１ａにより、本人性のスコアを用いて本人認証を行うことができる。

　一方、アカウントにアクセスするユーザの本人性に関する技術として、非特許文献２に記載の技術が知られている。
　非特許文献２に記載の技術では、ＩＣＳ（Industrial Control Systems）に特徴的な高セキュリティなインシデント予測を行うために、マルチレベルベイズネットワークを構築して、インシデントの発生確率（攻撃が起こる確率：本人でない確率）を予測する。そして、マルチレベルベイズネットワークと、マルチモデルを組み合わせて、そのインシデントによりもたらされる影響（被害）の量を評価する。非特許文献２に記載の技術では、ネットワークに攻撃をもたらすリスクを、インシデントの発生確率と、もたらされる影響の量とに基づき評価する。

"SmartFactor Authentication,"OneLogin, ［online］,［令和4年6月7日検索］、インターネット＜ＵＲＬ：https://www.onelogin.com/product/smartfactor-authentication＞ Q. Zhang, et.al.,"Multimodel-Based Incident Prediction and Risk Assessment in Dynamic Cybersecurity Protection for Industrial Control Systems,"IEEE Transactions on Systems, Man, and Cybernetics: Systems, vol. 46, no. 10, pp. 1429-1444, 2016.

　しかしながら、非特許文献１および非特許文献２に記載の技術では、個々のユーザの本人性のスコアを数値化（スコア化）しているので、ネットワークやサーバの運用状態（例えば、ネットワークやサーバへの攻撃と思われるトラヒック量の変化）に基づいてセキュリティと利便性を最適化した認証を行うことは困難である（課題Ａ）。

　また、非特許文献１に記載の技術では、ユーザの本人性のスコアが、製品ごとに独自の基準でスコア化したものであるため、アカウントの保守者は、本人ではないユーザ（アカウントの所有者ではない、なりすまし等）がもたらす脅威が発生したときの影響評価と対応判断に、製品ごとに異なるノウハウの習得が必要になる（課題Ｂ）。さらに、独自の基準でユーザの本人性を数値化しているため、複数の製品の各数値を統合して本人性を評価することが難しい（課題Ｃ）。

　一方、非特許文献２に記載の技術では、保守者の高度な知識に基づいて、ユーザの振る舞いに関するパラメータや状態遷移確率が抽出されていることが前提であり、攻撃が起こる確率（本人でない確率）や、インシデントが他のインシデントをもたらす確率などが、既知でないと、ユーザの本人性を確率で数値化できない（課題Ｄ）。

　このような点に鑑みて本発明がなされたのであり、本発明は、ユーザの本人性のスコアを、製品ごとの独自の基準やノウハウを用いることなく、観測可能な情報から算出することを課題とする。

　本発明に係る本人性認証システムは、ユーザの本人性を示すスコアを算出する本人性スコア算出装置と、ユーザ認証を行う認証装置とを備える本人性認証システムであって、前記認証装置が、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、前記本人性スコア算出装置が、ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集する振る舞い情報収集部と、前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集する認証結果収集部と、所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知する高度認証制御部と、前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部と、を備え、前記認証装置が、前記アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、前記本人性スコア算出装置から通知された高度認証手段により、前記高度認証を実行すると判定したユーザに対し高度認証を実行し、前記通常認証および前記高度認証の前記認証結果情報を前記本人性スコア算出装置に送信する認証処理部を備えることを特徴とする。

　本発明によれば、ユーザの本人性のスコアを、製品ごとの独自の基準やノウハウを用いることなく、観測可能な情報から算出することができる。

本実施形態に係る本人性認証システムの全体構成を示す図である。本実施形態に係る本人性認証システムの処理の概要を説明するための図である。本実施形態に係る本人および非本人の認証結果を説明するための図である。本実施形態に係る本人性スコア算出装置の構成例を示す機能ブロック図である。本実施形態に係る認証結果ＤＢに格納される認証結果情報のデータ構成例を示す図である。本実施形態に係る振る舞い情報ＤＢに格納される振る舞い情報（アクセス情報および行動履歴情報）のデータ構成例を示す図である。本実施形態に係る統計情報ＤＢに格納される統計情報のデータ構成例を示す図である。本実施形態に係る認証装置の構成例を示す機能ブロック図である。本実施形態に係る認証装置による通常認証手法の選択処理を説明するための図である。本実施形態に係る本人性認証システムが実行する処理の流れを示すシーケンス図である。本実施形態に係る本人性スコア算出装置および認証装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。従来のシングルサインオンシステムを説明するための図である。従来技術におけるユーザの本人性のスコアの算出例を説明するための図である。

　次に、本発明を実施するための形態（以下、「本実施形態」と称する。）について説明する。
　図１は、本実施形態に係る本人性認証システム１の全体構成を示す図である。
　本実施形態に係る本人性認証システム１は、認証装置２０および本人性スコア算出装置１０により構成されるシングルサインオン（ＳＳＯ）システムである。この本人性認証システム１の認証装置２０が、ユーザの認証を受け付けることにより、Ｗｅｂサービスを提供するＷｅｂサーバ５１や、社内システム５２、クラウドサービス５３等について、１度の認証によりユーザのアカウントを一元的に管理する。
　また、本人性認証システム１は、アカウントに紐づくヒトの振る舞いに関する情報を、サービス利用環境（位置情報、利用時間、回線情報、ＩＤ情報など）および行動履歴からユーザの手間をかけずに収集する。例えば、ユーザの行動履歴の情報を、外部サーバ４０（例えば、入退室管理サーバ等）から取得する。つまり、アカウントの認証チャネルとは別のチャネルの機器やシステム（アウトオブバンド）から、アカウントに紐づくヒトの振る舞いに関する情報を取得する。そして、取得したヒトの振る舞いに関する情報を、認証手法（後記する、「高度認証手法」）の選択の判断に利用する。

＜概要および技術思想＞
　まず、本実刑形態に係る本人性認証システム１の概要と、上記した課題Ａ～Ｄを解決する技術思想について説明する。
　本実施形態に係る本人性認証システム１は、上記した課題Ａを解決するため、運用中にＷｅｂサーバ５１や、社内システム５２、クラウドサービス５３等にアクセスするユーザ全体の本人性の割合の傾向を評価する。つまり、個々のユーザの本人性ではなく、ユーザ全体の本人性の割合に着目する。また、上記した課題Ｂ，Ｃを解決するため、本人性認証システム１（本人性スコア算出装置１０）は、Ｗｅｂサーバ５１や社内システム５２、クラウドサービス５３等にアクセスするユーザの本人性を、装置の独自基準によらず、客観的な数値として確率で評価することを可能にする。また、上記した課題Ｄを解決するため、本人性認証システム１（本人性スコア算出装置１０）は、Ｗｅｂサーバ５１等のアカウントに紐づくヒトの振る舞いに関する観測可能な情報を用いて、Ｗｅｂサーバ５１等にアクセスするユーザの本人性をスコアリングすることを可能にする。

　上記した課題を解決するための本人性認証システム１の機能（および処理）に関する技術思想について説明する。
　本実施形態に係る本人性認証システム１では、上記課題Ａを解決するため、Ｗｅｂサーバ５１や社内システム５２、クラウドサービス５３等にアクセスするユーザ全体における本人性の割合の傾向を評価する確率の推定値に基づいて、最適な強度の通常認証の手法を（自動的に）選択できるようにする。また、課題Ｂ，Ｃを解決するため、ユーザの本人性を、装置の独自基準によらず、客観的な数値として確率で評価できるようにする。また、課題Ｄを解決するため、Ｗｅｂサービス等のアカウントに紐づくヒトの振る舞いに関する観測可能な情報を用いて、Ｗｅｂサービス等にアクセスするユーザの本人性のスコアリングを可能にする。つまり、過去のサービス運用実績などの保守者の高度な知識や知見を不要とする。さらに、アカウントに紐づくヒトの振る舞いに関する情報を、サービス利用環境（位置情報、利用時間、回線情報、ＩＤ情報など）および行動履歴から、ユーザの手間をかけさせずに収集するものとする。
　そして、本人性認証システム１は、ユーザ全体における本人性の確率の推定値に基づいて、最適な強度の通常認証の手法を（自動的に）選択できるようにする。

　本人性認証システム１は、上記した課題Ａ～Ｄを解決した上で、ユーザ全体における本人性の確率の推定値に基づいて、最適な通常認証の選択を可能にするため、以下の技術思想を導入する。

［技術思想１：非本人の割合を推定するための高度認証］
　本人性認証システム１は、認証装置２０が従来から行う通常認証と、非本人の割合を推定するための「高度認証」とを併用する。
　ここで、通常認証とは、ユーザにアカウントの利用を許可するための手続きとして標準的な認証強度の認証であり、例えば、世の中で広く用いられている、ユーザＩＤとパスワードによる認証である。
　本人性認証システム１では、通常認証の他に、ランダムにサンプリングしたユーザについて、アカウントにアクセスするユーザ群の中で本人でないユーザ（以下、「非本人」と称する。）の割合を推定するためのユーザ認証（以下、「高度認証」と称する。）を行う。

　高度認証は、強度の高いユーザ認証を意味し、ユーザ本人であれば認証失敗することをほぼ抑止し（ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し）、非本人であれば認証成功することほぼ抑止する（非本人であれば認証成功することを第２の所定レベル以下に抑止する）レベルの認証を意味する。
　高度認証として、例えば、スマートカードや、ＳＭＳ（Short Message Service）認証、利用時にロック解除や回線利用などを必要とするアウトオブバンドでの認証手法であり、多要素かつ暗号学的に十分な強度を持つ認証手法を用いる。
　なお、本実施形態において、「多要素かつ暗号学的に十分な強度を持つ」という意味を、「ユーザ本人であれば認証失敗することをほぼ抑止する（ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する）」、「非本人であれば認証成功することほぼ抑止する（非本人であれば認証成功することを第２の所定レベル以下に抑止する）」と同じ意味として用いる。

［技術思想２：複数の高度認証の中からユーザ本人が認証失敗することを抑止できる高度認証を選択］
　本人性認証システム１は、高度認証の手法を複数用意しておき、アクセスするアカウントに紐づくヒトの振る舞いに関する情報に基づいて、ユーザ本人が認証失敗することを抑止できる高度認証を選択する。

　図２で示すように、本人性認証システム１では、通常認証に加えて、複数の高度認証の手法（高度認証手法「１」～「ｎ」）を備える。そして、アカウントにアクセス要求してきたユーザのうち、ランダムに選択したユーザについて、通常認証に加えて、複数の高度認証（高度認証手法「１」～「ｎ」）のうちのいずれかの高度認証を選択して行う。この高度認証手法の選択は、アクセスするアカウントに紐づくヒト（ユーザ）の振る舞いに関する情報（後記する「振る舞い情報」）に基づき行われる（図２の符号ｘ）。

　高度認証手法の選択は、例えば、以下のように行われる。
　（例１）アクセスするアカウントに紐づくヒトが、直近に、ＩＤ連携先の他のアカウントにマイナンバーカードを用いた何らかの認証を行いて成功していた場合、マイナンバーカードを用いた高度認証を選択する。
　（例２）アクセスするアカウントに紐づくヒトが、直近に、予め登録済みの携帯端末からネットワークにアクセスしていた場合、ＳＭＳを用いた高度認証を選択する。
　（例３）アクセスするアカウントに紐づくヒトが、オフィスに入室後であり、入出時にＩＣカード機能を持つ社員証（スマートカード）でドア開閉を行った場合、スマートカードを用いた高度認証を選択する。
　（例４）アクセスするアカウントに紐づくヒトが、在宅勤務を予定している場合、予め登録済みの自宅の回線ＩＤを用いた高度認証を選択する。

　このように、本人性認証システム１では、アクセスするアカウントに紐づいたヒトの振る舞い情報を記憶しておき、アクセスしてきたヒトのリアルタイムの振る舞いに基づいて、高度認証を選択する。ヒトの振る舞い情報を利用することで、本人が認証失敗することを抑止することができる。

［技術思想３：ユーザ全体における本人性の確率の推定値の算出手法］
　本人性認証システム１では、以下に示す前提を用いて、ユーザ全体における本人性の確率の推定を行う。
　（前提１）選択した高度認証手法では、本人はほぼ認証成功し（ユーザ本人であれば認証失敗することが第１の所定レベル以下であり）、非本人はほぼ認証を失敗する（非本人であれば認証成功することが第２の所定レベル以下である）。
　（前提２）非本人によるアカウントへのアクセスは、アカウントの状態（利用中かどうか、利用しているユーザの位置情報や回線種別などの環境）には関わらない。つまり、技術思想２で示した高度認証手法の選択が、非本人の割合に関して恣意的にならないものとする。
　（前提３）所定期間に認証要求してきた全ユーザ（母集団Ｎ₂）から、ランダムにサンプリングしたユーザ群（Ｎ₁）において、以下の割合は、母集団でのそれらの割合と近似できる。なお、（前提３）を実現するために（前提１）および（前提２）が必要となる。

　ここで、図３で示すように、ａ₁は、ユーザ群（Ｎ₁）において、通常認証に成功し、選択した高度認証にも成功した本人の数を示す。ｃ₁は、ユーザ群（Ｎ₁）において、通常認証に失敗し、選択した高度認証で成功した本人の数を示す。ｂ₁は、ユーザ群（Ｎ₁）において、通常認証に成功し、選択した高度認証で失敗した非本人の数を示す。ｄ₁は、ユーザ群（Ｎ₁）において、通常認証に失敗し、選択した高度認証でも失敗した非本人の数を示す。
　また、ａ₂は、母集団（Ｎ₂）において、通常認証に成功した本人の数を示す。ｃ₂は、母集団（Ｎ₂）において、通常認証に失敗した本人の数を示す。ｂ₂は、母集団（Ｎ₂）において、通常認証に成功した非本人の数を示す。ｄ₂は、母集団（Ｎ₂）において、通常認証に失敗した非本人の数を示す。

　本人性認証システム１では、選択した高度認証手法に基づき、観測可能な以下の情報を収集する（図３参照）。

　そして、本人性認証システム１は、母集団における、「非本人が通常認証に成功する割合β_２」、および、「全ユーザに対する非本人の割合γ_２」を、以下の式（１）および式（２）に基づき算出する。

　この「非本人が通常認証に成功する割合β_２」（式（１））は、全アカウントを対象にして、所定期間内にアクセスしてきた非本人のうち、通常認証に成功する割合である。これは、１アカウント当たりで非本人が乗っ取った（認証に成功した）割合を示している。
　また「全ユーザに対する非本人の割合γ_２」（式（２））は、１アカウント当たりの攻撃の割合を示している。
　この式（１）、式（２）と、上記した観測可能なＮ₂ ^(a+b)＝ａ₂＋ｂ₂ …式（３）、および、Ｎ₂ ^(c+d)＝ｃ₂＋ｄ₂ …式（４）とを用いて、連立方程式を解くことにより、ａ₂、ｂ₂、ｃ₂、ｄ₂を求めることができる。

　具体的には、本人性認証システム１は、母集団における、「通常認証に成功する本人の数ａ₂」、「通常認証に成功する非本人の数ｂ₂」、「通常認証に失敗する本人の数ｃ₂」、「通常認証に失敗する非本人の数ｄ₂」を次の式により算出する。

　そして、本人性認証システム１は、所定期間に通常認証に成功したユーザにおいては、本人である確率（Ｐ_S ^P）（式（５））を用いて本人性を推定し、本人ではない確率（Ｐ_S ⁿ）（式（６））を用いて本人性を推定する。

　また、本人性認証システム１は、所定期間に通常認証に失敗したユーザにおいては、本人である確率（Ｐ_f ^P）（式（７））を用いて本人性を推定し、本人ではない確率（Ｐ_f ⁿ）（式（８））を用いて本人性を推定する。

　本人性認証システム１は、所定期間にアクセスしてきた全ユーザにおいては、次の式（９）を用いて、本人である確率（Ｐ_t）を推定する。

　このように、本人性認証システム１では、所定期間に通常認証に成功したユーザにおいては、本人である確率（Ｐ_S ^P）を、式（５）を用いて本人性を推定することができる。
　また、本人性認証システム１では、通常認証に失敗した場合も含めた本人である確率（Ｐ_t）を、式（９）を用いて本人性を推定することができる。

　次に、本実施形態に係る本人性認証システム１を構成する、本人性スコア算出装置１０および認証装置２０について、具体的に説明する。

＜本人性スコア算出装置＞
　図４は、本実施形態に係る本人性スコア算出装置１０の構成例を示す機能ブロック図である。
　本人性スコア算出装置１０は、ユーザがユーザ端末３により、Ｗｅｂサーバ５１等のアカウントにアクセスした際の通常認証および高度認証の結果を、認証装置２０から取得し、アクセスしてきたユーザの本人性の確率を算出する。この本人性スコア算出装置１０は、アクセスするアカウントに紐づくヒト（ユーザ）の振る舞いに関する情報として、サービス利用環境（位置情報、利用時間、回線情報、ＩＤ情報など）や、行動履歴等を、「振る舞い情報」と収集し、本人が認証失敗するのを抑止できる、高度認証の手法を選択する。
　この本人性スコア算出装置１０は、制御部１１と、入出力部１２と、記憶部１３とを備えるコンピュータにより構成される。

　入出力部１２は、認証装置２０や、振る舞い情報を取得するための外部サーバ４０等との間の情報について入出力を行う。この入出力部１２は、通信回線を介して情報の送受信を行う通信インタフェースと、図示を省略したキーボード等の入力装置やモニタ等の出力装置との間で情報の入出力を行う入出力インタフェースとから構成される。

　記憶部１３は、ハードディスクやフラッシュメモリ、ＲＡＭ（Random Access Memory）等により構成される。
　この記憶部１３には、通常認証および高度認証の認証結果を格納する認証結果ＤＢ１００（詳細は後記する図５参照）と、ユーザの振る舞いに関する情報（振る舞い情報）を格納する振る舞い情報ＤＢ２００（詳細は後記する図６参照）と、通常認証および高度認証の結果を用いて算出された統計情報を格納する統計情報ＤＢ３００（詳細は後記する図７参照）とを備える。
　また、記憶部１３には、制御部１１の各機能を実行させるためのプログラムや、制御部１１の処理に必要な情報が一時的に記憶される。

　制御部１１は、本人性スコア算出装置１０が実行する処理の全般を司り、図４で示すように、認証結果収集部１１１と、振る舞い情報収集部１１２と、外部サーバ連携部１１３と、高度認証制御部１１４と、統計処理部１１５と、確率算出部１１６とを含んで構成される。

　認証結果収集部１１１は、ユーザがアカウントにアクセスした際に、認証装置２０により行われる通常認証、および、高度認証が行われた場合には、その高度認証の結果を、認証装置２０から取得し、その認証結果の情報（認証結果情報１１０）を認証結果ＤＢ１００に格納する。

　図５は、本実施形態に係る認証結果ＤＢ１００に格納される認証結果情報１１０のデータ構成例を示す図である。
　認証結果情報１１０には、図５で示すように、各ユーザに固有なＩＤであるアカウント名に対応付けて、アカウントへのアクセス時刻、通常認証が成功か失敗かを示す通常認証結果、および、高度認証の結果を示す高度認証結果が格納される。
　なお、高度認証結果は、高度認証が実行された場合に、「成功」または「失敗」が格納され、高度認証の対象とならたかった場合には、「未実施」が格納される。

　図４に戻り、振る舞い情報収集部１１２は、ユーザのサービス利用環境に関する情報（アクセス情報）や、ユーザの行動履歴に関する情報（行動履歴情報）を取得し、振る舞い情報２２０として振る舞い情報ＤＢ２００に格納する。

　図６は、本実施形態に係る振る舞い情報ＤＢ２００に格納される振る舞い情報２２０（アクセス情報２２１および行動履歴情報２２２）のデータ構成例を示す図である。
　図６で示すように、アクセス情報２２１には、ユーザがアカウントへアクセスした際のサービス利用環境に関する情報として、各ユーザに固有なＩＤであるアカウント名に対応付けて、アクセス時刻、端末種別、位置等の情報が格納される。これ以外にも、端末種別が「スマホ」であれば、ＳＭＳ認証に必要なスマホのアドレス情報や、端末種別が「ＰＣ」であり、在宅勤務であれば回線情報等が、ユーザのアカウント名に紐づけられて格納される。
　なお、振る舞い情報収集部１１２は、このアクセス情報２２１を、認証装置２０がユーザ端末３から収集した情報を受け取ることにより取得する。

　また、振る舞い情報収集部１１２は、アウトオブバンドのシステムとしての外部サーバ４０から、ユーザの行動履歴に関する情報（行動履歴情報２２２）を取得する。例えば、アウトオブバンドのシステムが、オフィス等の入退室管理システムである場合、外部サーバ連携部１１３を介して、外部サーバ４０である入退室管理サーバから、図６で示すように、アカウントに紐づいたヒトの入退室時刻の情報（入退室管理情報）を取得し、振る舞い情報ＤＢ２００に格納する。

　外部サーバ連携部１１３は、ユーザ端末３とのチャネル（情報伝達経路）以外のチャネルから、ユーザの行動履歴を取得するための各種外部サーバ４０との連携処理（アウトオブバンド連携処理）を行う。例えば、上記のように、入退室管理サーバとの間で、アカウントに紐づくヒトの入退室時間等の送受信を行うための要求メッセージや応答メッセージの生成処理等を行う。

　高度認証制御部１１４は、所定期間内にアクセスしてきたユーザに対して、高度認証を行うか否かを判定する。高度認証制御部１１４は、上記した技術思想３の（前提２）を担保するため、通常認証を行ったユーザからランダムに高度認証を行うユーザを選択する。

　また、高度認証制御部１１４は、高度認証を行うとしたユーザに関し、振る舞い情報２２０（図６）を用いて、サービス利用環境に関する情報であるアクセス情報２２１や行動履歴情報２２２と、複数の高度認証のうちのユーザが認証に成功する高度認証との対応関係を、所定のロジックに基づくプロファイル（分析結果）として保持しておく。
　例えば、直前に、スマホからアクセスがあった場合には、高度認証として、ＳＭＳ認証を用いるとのプロファイルが作成される。直前に、オフィスの入退室記録がある場合には、オフィスビル等の入退室管理情報に基づき、社員証等のスマートカードによる認証を用いるとのプロファイルが作成される。

　高度認証制御部１１４は、高度認証を行うことに決定したユーザに対し、当該プロファイルを用いて、アカウントに紐づくヒト（ユーザ）であれば認証成功する高度認証の手法を決定する。
　そして、高度認証制御部１１４は、そのアカウントに紐づくユーザについて決定した高度認証手法を、認証装置２０に通知する。

　統計処理部１１５は、所定期間にアクセスしてきた全ユーザについて、通常認証や各種の高度認証を行った結果としての統計値（ユーザ数）を算出し、統計情報３１０として、統計情報ＤＢ３００に格納する。

　図７は、本実施形態に係る統計情報ＤＢ３００に格納される統計情報３１０のデータ構成例を示す図である。
　図７で示すように、統計情報３１０は、各高度認証の手法ごとに、その高度認証の結果（成功／失敗）と、その高度認証を行ったユーザの通常認証の結果が対応付けられて格納される。また、高度認証が未実施のユーザについての通常認証の結果（成功／失敗）のユーザ数が格納される。

　図４に戻り、確率算出部１１６は、統計情報ＤＢ３００に格納された統計情報３１０を参照して、アカウントにアクセスしてきたユーザの本人性の確率を算出する。
　確率算出部１１６は、所定期間に通常認証に成功したユーザにおいては、本人である確率（Ｐ_S ^P）を、上記した式（５）を用いて算出する。
　なお、確率算出部１１６は、通常認証に失敗した場合も含めた本人である確率（Ｐ_t）を、式（９）を用いて算出してもよい。

　確率算出部１１６が、アカウントにアクセスしてきたユーザの本人性の確率の計算式として、式（５）および式（９）のどちらを用いるかは、予め決定しておく。そして、確率算出部１１６は、算出したユーザの本人性の確率（推定値）を、認証装置２０に送信する。

＜認証装置＞
　次に、本実施形態に係る認証装置２０について説明する。
　図８は、本実施形態に係る認証装置２０の構成例を示す機能ブロック図である。
　認証装置２０は、強度の異なる複数種類の通常認証の手法（通常認証手法）と、複数種類の高度認証の手法（高度認証手法）とを備える。認証装置２０は、ユーザ端末３からの認証要求を受け付け、予め設定しておいた通常認証を行うとともに、ユーザのサービス利用環境に関する情報（アクセス情報２２１）を取得する。そして、認証装置２０は、通常認証の結果やアクセス情報２２１を、本人性スコア算出装置１０へ送信する。また、認証装置２０は、本人性スコア算出装置１０から、高度認証を行うことに決定したユーザについて、決定した高度認証手法の情報を受け取り、その高度認証手法を行った上でその認証結果を本人性スコア算出装置１０に送信する。
　また、認証装置２０は、本人性スコア算出装置１０から、ユーザの本人性確率（推定値）の情報を取得し、非本人の割合の増加による脅威とユーザの利便性を考慮した、最適な通常認証手法を選択する。
　この本人性スコア算出装置１０は、制御部２１と、入出力部２２と、記憶部２３とを備えるコンピュータにより構成される。

　入出力部２２は、本人性スコア算出装置１０や、端末３、Ｗｅｂサーバ５１，社内システム５２、クラウドサービス５３等との間の情報について入出力を行う。この入出力部２２は、通信回線を介して情報の送受信を行う通信インタフェースと、図示を省略したキーボード等の入力装置やモニタ等の出力装置との間で情報の入出力を行う入出力インタフェースとから構成される。

　記憶部２３は、ハードディスクやフラッシュメモリ、ＲＡＭ（Random Access Memory）等により構成される。
　この記憶部２３には、アクセスしてきたユーザの通常認証に必要な情報がユーザ情報ＤＢ４００に格納される。例えば、アクセスしてきたユーザのアカウント名（ユーザＩＤ）とパスワードの情報や、ユーザ端末３のアドレス情報等が格納される。また、このユーザ情報ＤＢ４００には、高度認証を行った際に認証のために必要な情報も格納される。なお、この高度認証のために必要な情報は、本人性スコア算出装置１０の外部サーバ連携部１１３（図４）を介して外部サーバ４０等から取得し、ユーザ情報ＤＢ４００に格納しておいてもよい。
　また、記憶部２３には、制御部２１の各機能を実行させるためのプログラムや、制御部２１の処理に必要な情報が一時的に記憶される。

　制御部２１は、認証装置２０が実行する処理の全般を司り、図８で示すように、アクセス情報取得部２１１と、認証処理部２１２と、通常認証選択部２１３と、認証制御部２１４と、一元情報管理部２１５とを含んで構成される。

　アクセス情報取得部２１１は、ログイン要求を受け付けたユーザ端末３から、ユーザのサービス利用環境に関する情報（アクセス情報２２１）として、端末種別や位置情報等を取得する。そして、アクセス情報取得部２１１は、アクセス時刻（例えば、ログイン要求を受信した時刻）とともに、端末種別や位置情報等のアクセス情報２２１を、本人性スコア算出装置１０へ送信する。

　認証処理部２１２は、アカウントにアクセスしてきたユーザに対する、複数種類の通常認証手法と、複数種類の高度認証手法とを保持する。
　認証処理部２１２は、アクセスしてきたユーザに対し、設定された通常認証手法により認証を行う。また、認証処理部２１２は、本人性スコア算出装置１０から、高度認証を行うことに決定したユーザについて、決定した高度認証手法の情報を受け取り、複数の高度認証手段の中から、その高度認証手法を選択して認証を行う。
　認証処理部２１２は、通常認証および高度認証の結果（成功／失敗）を、本人性スコア算出装置１０へ送信する。

　通常認証選択部２１３は、本人性スコア算出装置１０から、ユーザの本人性の確率（推定値）を、所定期間ごとに取得する。そして、通常認証選択部２１３は、取得したユーザの本人性の確率に応じて、非本人の割合の増加による脅威と、ユーザの利便性を考慮して、複数の通常認証手法から最適な通常認証手法を選択する。

　図９で示すように、通常認証手法は、強度の高い通常認証手法「１」～強度の低い（標準の）通常認証手法「ｎ」まで、段階的に設定されている。そして、通常認証選択部２１３は、本人性スコア算出装置１０から、ユーザの本人性の確率の推定値を取得すると、例えば、ユーザの本人性の確率の推定値が、所定の閾値以上である場合には、ユーザの利便性を考慮した標準的な通常認証手法（例えば、通常認証手法「ｎ」）を選択する。標準的な通常認証手法「ｎ」は、例えば、ユーザＩＤとパスワードによる認証である。一方、通常認証選択部２１３は、ユーザの本人性の確率の推定値が、所定の閾値よりも低い場合には、ユーザの利便性を犠牲にして、比較的強度の高い通常認証手法（例えば、通常認証手法「１」）を選択する。比較的強度の高い通常認証手法「１」は、例えば、生体認証や２段階認証である。
　通常認証選択部２１３は、選択した通常認証手法の情報を、認証処理部２１２に通知することにより、通常認証手法の設定を行う。

　図８に戻り、認証制御部２１４は、例えば、ＲＡＤＩＵＳ（Remote Authentication Dial In User Service）等のユーザ認証プロトコルに基づき、ユーザ端末３との間で認証処理を実行する。

　一元情報管理部２１５は、例えば、ＬＤＡＰ（Lightweight Directory Access Protocol）を用いることにより、１つのＩＤとパスワードで、複数のサービスを利用可能にするシングルサインオン（ＳＳＯ）を実現する。

≪処理の流れ≫
　次に、本実施形態に係る本人性認証システム１が実行する処理の流れについて説明する。
　図１０は、本人性認証システム１が実行する処理の流れを示すシーケンス図である。
　なお、ここでは、外部サーバ４０から取得する行動履歴情報２２２として、オフィス等の入退室管理システムからの情報を取得するものとして説明する。つまり、外部サーバ４０である入退室管理サーバから、本人性スコア算出装置１０が、図６の行動履歴情報２２２で示すような、アカウントに紐づいたヒトの入退室時刻の情報（入退室管理情報）を取得するものとして説明する。

　入退室管理システムでは、例えば次のように、ユーザの入退出を管理している。
　アカウントに紐づくヒトがオフィスに出社すると、ＩＣカード機能を持つ社員証（スマートカード）を用いてフラッパーゲート等を通過することにより入室する。入退室管理サーバは、社員証から、入室したユーザのＩＤと入出時刻を取得して、自サーバに記録する。このようにして、入退室管理サーバでは、ユーザの行動履歴情報２２２を記録しておく。

　そして、先ず、ユーザがユーザ端末３（例えば、ＰＣ）を用いて、Ｗｅｂサービスを利用するために、Ｗｅｂサーバ５１にアクセスしてログイン要求を行う。
　Ｗｅｂサーバ５１は、ユーザを認証するために、ユーザ端末３を経由して、認証装置２０にリダイレクトする。

　認証装置２０は、ログイン要求のリダイレクトを受け取ると（ステップＳ１０）、アクセス情報取得部２１１が、ユーザのサービス利用環境に関する情報（アクセス情報２２１）として、端末種別や位置情報等をユーザ端末３から取得する（ステップＳ１１）。そして、アクセス情報取得部２１１は、アクセス時刻（例えば、ログイン要求を受信した時刻）とともに、端末種別や位置情報等のアクセス情報２２１を、本人性スコア算出装置１０へ送信する。
　そして、本人性スコア算出装置１０の振る舞い情報収集部１１２は、認証装置２０からアクセス情報２２１を取得し、振る舞い情報ＤＢ２００に格納する（ステップＳ１２）。

　続いて、認証装置２０の認証処理部２１２は、所定（初期設定）の通常認証手法により、アクセスしてきたユーザに関する通常認証を実行する（ステップＳ１３）。そして、認証処理部２１２は、その通常認証の結果（成功／失敗）を、本人性スコア算出装置１０へ送信する。
　本人性スコア算出装置１０の認証結果収集部１１１は、その通常認証の結果を取得すると、認証結果ＤＢ１００に、認証結果情報１１０（図５）として格納する（ステップＳ１４）。

　次に、本人性スコア算出装置１０の高度認証制御部１１４は、所定期間内にアクセスしてきたユーザに対して、通常認証に加えて、高度認証を行うか否かを決定する（ステップＳ１５）。高度認証制御部１１４は、高度認証を行うユーザか否かをランダムに決定する。

　高度認証を行うユーザについて、本人性スコア算出装置１０の振る舞い情報収集部１１２は、ユーザの行動履歴に関する情報（行動履歴情報２２２）を外部サーバ４０から取得し（ステップＳ１６）、振る舞い情報ＤＢ２００に格納する。
　ここでは、振る舞い情報収集部１１２は、入退出管理サーバ（外部サーバ４０）から、アカウントに紐づいたヒトの入退室時刻の情報（入退室管理情報）を、行動履歴情報２２２として取得する。

　次に、本人性スコア算出装置１０の高度認証制御部１１４は、高度認証を行うとしたユーザに関し、振る舞い情報２２０（図６）を参照し、アカウントに紐づくヒト（ユーザ）であれば認証成功する高度認証の手法を決定する（ステップＳ１７）。そして、高度認証制御部１１４は、そのユーザに関する高度認証の要否（ここでは、「要」）と、決定した高度認証手法とを、認証装置２０へ通知する。

　ここで、高度認証制御部１１４は、行動履歴情報２２２（入退室管理情報）を参照することにより、例えば、図６の符号ｙで示すように、入室時刻はあるが、退室時刻の記録がない場合、つまり、オフィス内にユーザがいると推定される場合に、アカウントに紐づくヒトであれば成功する高度認証手法として、社員証（スマートカード）を用いた高度認証に決定する。

　認証装置２０の認証処理部２１２は、該当するユーザに対し、通知された高度認証手法により、高度認証を実行する（ステップＳ１８）。ここでは、認証処理部２１２は、ユーザに対し社員証を用いた高度認証を行う。

　そして、認証処理部２１２による高度認証が成功したユーザに対して、認証制御部２１４および一元情報管理部２１５による制御により、Ｗｅｂサーバ５１に対して、アカウントのログインを許可する。

　続いて、認証装置２０の認証処理部２１２は、その高度認証の結果（成功／失敗）を、本人性スコア算出装置１０へ送信する。
　そして、本人性スコア算出装置１０の認証結果収集部１１１は、その高度認証の結果を取得すると、認証結果ＤＢ１００に、認証結果情報１１０（図５）として格納する（ステップＳ１９）。

　次に、本人性スコア算出装置１０の統計処理部１１５は、所定期間にアクセスしてきた全ユーザについて、通常認証や各種の高度認証を行った結果としての統計値（ユーザ数）を算出し、統計情報３１０（図７）として、統計情報ＤＢ３００に格納する。

　続いて、本人性スコア算出装置１０の確率算出部１１６は、統計情報３１０（図７）を用いて、高度認証未実施を含む全ユーザにおける本人性の確率を計算する（ステップＳ２０）。

　ここで、確率算出部１１６は、所定期間に通常認証に成功したユーザにおいては、本人である確率（Ｐ_S ^P）を、上記した式（５）を用いて算出する。
　確率算出部１１６は、例として、図７で示す統計情報３１０を参照することにより、本人である確率（Ｐ_S ^P）を、式（５）を用いて計算すると、以下のスコア（推定値）となる。

　ここで、β₁＝（2＋3）／（2＋10＋3＋9）＝5／24である。γ₁＝（2＋10＋3＋9）／（80＋50）＝24／130である。Ｎ₂＝80＋50＋1000＝1130である。

　また、他の例として、確率算出部１１６は、通常認証に失敗した場合も含めた本人である確率（Ｐ_t）を、式（９）を用いて算出する。
　確率算出部１１６は、例として、図７で示す統計情報３１０を参照することにより、本人である確率（Ｐ_t）を、式（９）を用いて計算すると、以下のスコアとなる。

　そして、確率算出部１１６は、算出したアカウントにアクセスしてきたユーザの本人性の確率を、認証装置２０に送信する。

　認証装置２０の通常認証選択部２１３は、本人性スコア算出装置１０から、ユーザの本人性の確率の推定値を、所定期間ごとに取得する。そして、通常認証選択部２１３は、取得したユーザの本人性の確率の推定値に応じて、複数種類の通常認証手法から最適な通常認証手法を選択する（ステップＳ２１）。

　例えば、通常認証選択部２１３は、ユーザの本人性の確率の推定値が、所定の閾値以上である場合には、ユーザの利便性を考慮した標準的な通常認証手法（例えば、通常認証手法「ｎ」）を選択する。一方、通常認証選択部２１３は、ユーザの本人性の確率の推定値が、所定の閾値よりも低い場合には、ユーザの利便性を犠牲にして、比較的強度の高い通常認証手法（例えば、通常認証手法「１」）を選択する。
　通常認証選択部２１３は、選択した通常認証手法の情報を、認証処理部２１２に通知することにより、通常認証手法の設定を行う（ステップＳ２２）。

　なお、通常認証選択部２１３は、「通常認証に成功したユーザの本人性の確率」（式（５））により算出された推定値を用いる場合には、通常認証に成功したユーザの中に非本人が含まれる割合から脅威を評価して通常認証を選択する。一方、「通常認証に失敗したユーザも含めた場合の本人性の確率」（式（９））により算出された推定値を用いる場合において、通常認証に失敗したユーザの中に本人が含まれる割合が多いときには、ユーザの利便性の観点から、上記脅威を考慮しつつ、強度が比較的高い通常認証手法から標準的な強度の通常認証手法に変更する。

　このようにすることにより、本実施形態に係る本人性認証システム１によれば、所定期間にアクセスしてきたユーザ全体における本人性の推定値に基づいて、最適な認証手法を選択することができる。

＜変形例＞
　本実施形態に係る本人性認証システム１の本人性スコア算出装置１０（高度認証制御部１１４）は、通常認証に加えて高度認証を行うユーザをランダムに決定し、その決定したユーザであれば認証成功する高度認証手法を決定して、認証装置２０へ通知していた。
　これに対し、本人性スコア算出装置１０の変形例では、ランダムに決定した高度認証を行うユーザに関し、高度認証制御部１１４が、認証結果ＤＢ１００を参照し、通常認証に失敗しているユーザに関しては、高度認証を行わないように制御する。

　上記したように、所定期間に通常認証に成功したユーザにおいては、本人である確率（Ｐ_S ^P）（式（５））を用いて本人性を推定し、本人ではない確率（Ｐ_S ⁿ）（式（６））を用いて本人性を推定する。
　ここで、β₁γ₁は、下記の式（１０）で表すことができる。

　式（１０）のうち、（ｘ₁+ｚ₁）は、ランダムにサンプリングしたユーザ群の数（Ｎ₁＝ｘ₁+ｚ₁）である。また、（ｚ₁´）は、ユーザ群の中で通常認証に成功し、かつ高度認証に失敗した数（ｚ₁´）である。これらの数は、ユーザ群の中で、通常認証の成功したユーザについてのみ高度認証を行えば観測可能となるものである。
　なお、ランダムにサンプリングするユーザには、Ｎ₁を求めるために、通常認証に失敗したユーザも含めるものとする。しかしながら、変形例の高度認証制御部１１４では、通常認証に失敗したユーザについては、サンプリングしても高度認証を行わないように制御する。このようにしても、確率算出部１１６は、ユーザ全体における本人性の推定値を算出することができる。

＜ハードウェア構成＞
　本実施形態に係る本人性スコア算出装置１０および認証装置２０は、例えば図１１に示すような構成のコンピュータ９００によって実現される。
　図１１は、本実施形態に係る本人性スコア算出装置１０および認証装置２０の機能を実現するコンピュータ９００の一例を示すハードウェア構成図である。コンピュータ９００は、ＣＰＵ（Central Processing Unit）９０１、ＲＯＭ（Read Only Memory）９０２、ＲＡＭ９０３、ＨＤＤ（Hard Disk Drive）９０４、入出力Ｉ／Ｆ（Interface）９０５、通信Ｉ／Ｆ９０６およびメディアＩ／Ｆ９０７を有する。

　ＣＰＵ９０１は、ＲＯＭ９０２またはＨＤＤ９０４に記憶されたプログラムに基づき作動し、制御部による制御を行う。ＲＯＭ９０２は、コンピュータ９００の起動時にＣＰＵ９０１により実行されるブートプログラムや、コンピュータ９００のハードウェアに係るプログラム等を記憶する。

　ＣＰＵ９０１は、入出力Ｉ／Ｆ９０５を介して、マウスやキーボード等の入力装置９１０、および、ディスプレイやプリンタ等の出力装置９１１を制御する。ＣＰＵ９０１は、入出力Ｉ／Ｆ９０５を介して、入力装置９１０からデータを取得するともに、生成したデータを出力装置９１１へ出力する。なお、プロセッサとしてＣＰＵ９０１とともに、ＧＰＵ（Graphics Processing Unit）等を用いても良い。

　ＨＤＤ９０４は、ＣＰＵ９０１により実行されるプログラムおよび当該プログラムによって使用されるデータ等を記憶する。通信Ｉ／Ｆ９０６は、通信網（例えば、ＮＷ（Network）９２０）を介して他の装置からデータを受信してＣＰＵ９０１へ出力し、また、ＣＰＵ９０１が生成したデータを、通信網を介して他の装置へ送信する。

　メディアＩ／Ｆ９０７は、記録媒体９１２に格納されたプログラムまたはデータを読み取り、ＲＡＭ９０３を介してＣＰＵ９０１へ出力する。ＣＰＵ９０１は、目的の処理に係るプログラムを、メディアＩ／Ｆ９０７を介して記録媒体９１２からＲＡＭ９０３上にロードし、ロードしたプログラムを実行する。記録媒体９１２は、ＤＶＤ（Digital Versatile Disc）、ＰＤ（Phase change rewritable Disk）等の光学記録媒体、ＭＯ（Magneto Optical disk）等の光磁気記録媒体、磁気記録媒体、半導体メモリ等である。

　例えば、コンピュータ９００が本発明の本人性スコア算出装置１０および認証装置２０として機能する場合、コンピュータ９００のＣＰＵ９０１は、ＲＡＭ９０３上にロードされたプログラムを実行することにより、本人性スコア算出装置１０および認証装置２０の機能を実現する。また、ＨＤＤ９０４には、ＲＡＭ９０３内のデータが記憶される。ＣＰＵ９０１は、目的の処理に係るプログラムを記録媒体９１２から読み取って実行する。この他、ＣＰＵ９０１は、他の装置から通信網（ＮＷ９２０）を介して目的の処理に係るプログラムを読み込んでもよい。

＜効果＞
　以下、本発明に係る本人性認証システム１等の効果について説明する。
　本発明に係る本人性認証システムは、ユーザの本人性を示すスコアを算出する本人性スコア算出装置１０と、ユーザ認証を行う認証装置２０とを備える本人性認証システム１であって、認証装置２０が、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、本人性スコア算出装置１０が、ユーザがユーザ端末３によりアカウントにアクセスしたサービス利用環境を示すアクセス情報２２１と、ユーザの行動履歴情報２２２とを示す振る舞い情報２２０を収集する振る舞い情報収集部１１２と、認証装置２０から、通常認証および高度認証の成功または失敗を示す認証結果情報１１０を収集する認証結果収集部１１１と、所定期間内にアカウントにアクセスしてきたユーザに対して、通常認証に加えて高度認証を実行するか否かを判定し、高度認証を実行すると判定したユーザに関し、複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する高度認証手段を、振る舞い情報２２０を参照して決定し、高度認証を実行すると判定したユーザについて決定した高度認証手段を、認証装置２０に通知する高度認証制御部１１４と、認証結果情報１１０から得られる、通常認証の成功および失敗のユーザ数、高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部１１６と、を備え、認証装置２０が、アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、本人性スコア算出装置１０から通知された高度認証手段により、高度認証を実行すると判定したユーザに対し高度認証を実行し、通常認証および高度認証の認証結果情報を本人性スコア算出装置１０に送信する認証処理部２１２を備えることを特徴とする。

　このようにすることで、本人性認証システム１は、アカウントにアクセスしてくるユーザ全体における本人性を、装置の独自基準や製品ごとに異なるノウハウによらずに、観測可能な情報を用いて、客観的な数値としての確率で算出することができる。
　つまり、非本人によるアカウントへのアクセスの割合を評価することができるため、不正アクセスの増加等が発生した際において、本人性をスコア化する他の製品や装置に関する独自の高度なノウハウ等が不要となる。また、アカウントに紐づくヒトに関する観測可能な情報（通常認証および高度認証の認証結果）を用いて、ユーザの本人性を確率として数値化するため、過去のサービス運用実績などの保守者の高度な知識や知見を不要とすることができる。

　また、本人性認証システム１は、本人性スコア算出装置１０の確率算出部１１６が、算出した本人性の確率を、所定期間ごとに認証装置２０に送信し、認証装置２０が、本人性スコア算出装置１０から取得した本人性の確率に応じて、複数種類の通常認証手段の中から、新たに設定する所定の通常認証手段を選択する通常認証選択部２１３を備えること　を特徴とする。

　このようにすることにより、本人性認証システム１は、所定期間にアクセスしてきたユーザ全体における本人性の確率に基づいて、ユーザの利便性とセキュリティを考慮した最適な強度の通常認証手法を選択することができる。
　また、本人性認証システムは、所定期間ごとに算出した本人性の確率に応じて、保守者の介在なしに（自動で）、最適な通常認証手法を選択することが可能となる。

　また、本人性認証システム１は、確率算出部１１６が、アカウントにアクセスしてきたユーザの本人性の確率として、所定期間に通常認証に成功したユーザが、ユーザ本人である確率を算出することを特徴とする。

　これにより、本人性認証システム１は、通常認証に成功したユーザに関し、本人性を推定することができる。具体的には、本人性認証システム１は、上記した式（５）を用いて、通常認証に成功したユーザに関し、本人性である確率を算出することができる。よって、本人性認証システム１は、通常認証に成功したユーザの中に非本人が含まれる割合から脅威を評価して通常認証手法を選択することが可能となる。

　また、本人性認証システム１は、高度認証制御部１１４が、通常認証に加えて高度認証を実行すると判定したユーザに関し、認証結果情報を参照し、当該ユーザに関する通常認証が失敗である場合に、認証装置に対する高度認証手段の通知を行わないことを特徴とする。

　これにより、本人性認証システム１は、通常認証の認証結果を参照し、通常認証が失敗している場合には、高度認証を実行すると判定されたユーザであっても、実行する高度認証手段を決定せず、認証装置に対して通知を行わないようにすることができる。
　よって、通常認証に成功したユーザに関して本人性の確率を算出する場合に、認証装置において、本人性の算出に不要な、通常認証に失敗したユーザに対する高度認証を実行しないようにし、認証装置の処理負荷を低減させることができる。

　また、本人性認証システム１は、確率算出部１１６が、アカウントにアクセスしてきたユーザの本人性の確率として、所定期間に通常認証に失敗したユーザも含めた、ユーザ全体におけるユーザ本人である確率を算出することを特徴とする。

　これにより、本人性認証システム１は、所定期間に通常認証に失敗したユーザも含めた、ユーザ全体におけるユーザ本人である確率を算出することができる、具体的には、本人性認証システム１は、上記した式（９）を用いて、通常認証に失敗したユーザも含めた、ユーザ全体におけるユーザ本人である確率を算出でき、通常認証に失敗したユーザの中に本人が含まれる割合が多いときには、ユーザの利便性の観点から、上記脅威を考慮しつつ、強度が比較的高い通常認証手法から標準的な強度の通常認証手法に変更する等の設定変更を行うことができる。

　本発明に係る本人性スコア算出装置は、ユーザ認証を行う認証装置２０に接続され、ユーザの本人性を示すスコアを算出する本人性スコア算出装置１０であって、認証装置２０が、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、本人性スコア算出装置１０が、ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報２２１と、ユーザの行動履歴情報２２２とを示す振る舞い情報２２０を収集する振る舞い情報収集部１１２と、認証装置２０から、通常認証および高度認証の成功または失敗を示す認証結果情報１１０を収集する認証結果収集部１１１と、所定期間内にアカウントにアクセスしてきたユーザに対して、通常認証に加えて高度認証を実行するか否かを判定し、高度認証を実行すると判定したユーザに関し、複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する高度認証手段を、振る舞い情報２２０を参照して決定し、高度認証を実行すると判定したユーザについて決定した高度認証手段を、認証装置２０に通知する高度認証制御部１１４と、認証結果情報１１０から得られる、通常認証の成功および失敗のユーザ数、高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部１１６と、を備えることを特徴とする。

　このようにすることにより、本人性スコア算出装置１０は、アカウントにアクセスしてくるユーザ全体における本人性を、装置の独自基準や製品ごとに異なるノウハウによらずに、観測可能な情報を用いて、客観的な数値としての確率で算出することができる。

　本発明に係る認証装置は、ユーザの本人性を示すスコアを算出する本人性スコア算出装置１０に接続され、ユーザ認証を行う認証装置２０であって、認証装置２０は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、認証装置２０は、アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、本人性スコア算出装置から通知された高度認証手段により、高度認証を実行すると判定したユーザに対し高度認証を実行し、通常認証および高度認証の成功または失敗を示す認証結果情報を本人性スコア算出装置１０に送信する認証処理部２１２と、本人性スコア算出装置１０から取得した本人性の確率に応じて、複数種類の通常認証手段の中から、新たに設定する通常認証手段を選択する通常認証選択部２１３と、を備えることを特徴とする。

　このようにすることにより、認証装置は、所定期間にアクセスしてきたユーザ全体における本人性の確率に基づいて、ユーザの利便性とセキュリティを考慮した最適な強度の通常認証手法を選択することができる。
　また、認証装置は、所定期間ごとに算出した本人性の確率に応じて、保守者の介在なしに（自動で）、最適な通常認証手法を選択することが可能となる。

　なお、本発明は、以上説明した実施形態に限定されるものではなく、多くの変形が本発明の技術的思想内で当分野において通常の知識を有する者により可能である。

　１　　　本人性認証システム
　３　　　ユーザ端末
　１０　　本人性スコア算出装置
　２０　　認証装置
　４０　　外部サーバ
　５１　　Ｗｅｂサーバ
　５２　　社内システム
　５３　　クラウドサービス
　１１，２１　制御部
　１２，２２　入出力部
　１３，２３　記憶部
　１００　認証結果ＤＢ
　１１０　認証結果情報
　１１１　認証結果収集部
　１１２　振る舞い情報収集部
　１１３　外部サーバ連携部
　１１４　高度認証制御部
　１１５　統計処理部
　１１６　確率算出部
　２００　振る舞い情報ＤＢ
　２１１　アクセス情報取得部
　２１２　認証処理部
　２１３　通常認証選択部
　２１４　認証制御部
　２１５　一元情報管理部
　２２０　振る舞い情報
　２２１　アクセス情報
　２２２　行動履歴情報
　３００　統計情報ＤＢ
　４００　ユーザ情報ＤＢ

Claims

　ユーザの本人性を示すスコアを算出する本人性スコア算出装置と、ユーザ認証を行う認証装置とを備える本人性認証システムであって、
　前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
　前記本人性スコア算出装置は、
　ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集する振る舞い情報収集部と、
　前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集する認証結果収集部と、
　所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知する高度認証制御部と、
　前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部と、を備え、
　前記認証装置は、
　前記アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、前記本人性スコア算出装置から通知された高度認証手段により、前記高度認証を実行すると判定したユーザに対し高度認証を実行し、前記通常認証および前記高度認証の前記認証結果情報を前記本人性スコア算出装置に送信する認証処理部を備えること
　を特徴とする本人性認証システム。
　前記本人性スコア算出装置の確率算出部は、算出した前記本人性の確率を、前記所定期間ごとに前記認証装置に送信し、
　前記認証装置は、
　前記本人性スコア算出装置から取得した前記本人性の確率に応じて、前記複数種類の通常認証手段の中から、新たに設定する前記所定の通常認証手段を選択する通常認証選択部を備えること
　を特徴とする請求項１に記載の本人性認証システム。
　前記確率算出部は、前記アカウントにアクセスしてきたユーザの本人性の確率として、所定期間に前記通常認証に成功したユーザが、ユーザ本人である確率を算出すること
　を特徴とする請求項１または請求項２に記載の本人性認証システム。
　前記高度認証制御部は、前記通常認証に加えて前記高度認証を実行すると判定したユーザに関し、前記認証結果情報を参照し、当該ユーザに関する通常認証が失敗である場合に、前記認証装置に対する前記高度認証手段の通知を行わないこと
　を特徴とする請求項３に記載の本人性認証システム。
　前記確率算出部は、前記アカウントにアクセスしてきたユーザの本人性の確率として、所定期間に前記通常認証に失敗したユーザも含めた、ユーザ全体における、ユーザ本人である確率を算出すること
　を特徴とする請求項１または請求項２に記載の本人性認証システム。
　ユーザの本人性を示すスコアを算出する本人性スコア算出装置と、ユーザ認証を行う認証装置とを備える本人性認証システムの本人性認証方法であって、
　前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
　前記認証装置は、
　アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行し、通常認証の成功または失敗を示す認証結果情報を前記本人性スコア算出装置に送信するステップを実行し、
　前記本人性スコア算出装置は、
　前記認証装置から、前記通常認証についての前記認証結果情報を収集するステップと、
　ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集するステップと、
　所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知するステップと、を実行し、
　前記認証装置は、
　前記本人性スコア算出装置から通知された高度認証手段により、前記高度認証を実行すると判定したユーザに対し高度認証を実行し、当該高度認証の前記認証結果情報を前記本人性スコア算出装置に送信するステップを実行し、
　前記本人性スコア算出装置は、
　前記認証装置から、前記高度認証についての前記認証結果情報を収集するステップと、
　前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出するステップと、を実行すること
　を特徴とする本人性認証方法。
　ユーザ認証を行う認証装置に接続され、ユーザの本人性を示すスコアを算出する本人性スコア算出装置であって、
　前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
　前記本人性スコア算出装置は、
　ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集する振る舞い情報収集部と、
　前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集する認証結果収集部と、
　所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知する高度認証制御部と、
　前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきたユーザの本人性の確率を算出する確率算出部と、
　を備えることを特徴とする本人性スコア算出装置。
　ユーザの本人性を示すスコアを算出する本人性スコア算出装置に接続され、ユーザ認証を行う認証装置であって、
　前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
　前記認証装置は、
　アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、前記本人性スコア算出装置から通知された高度認証手段により、前記高度認証を実行すると判定したユーザに対し高度認証を実行し、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を前記本人性スコア算出装置に送信する認証処理部と、
　前記本人性スコア算出装置から取得した前記本人性の確率に応じて、前記複数種類の通常認証手段の中から、新たに設定する前記通常認証手段を選択する通常認証選択部と、
　を備えることを特徴とする認証装置。
　コンピュータを、請求項７に記載の本人性スコア算出装置として機能させるためのプログラム。
　コンピュータを、請求項８に記載の認証装置として機能させるためのプログラム。