WO2024116394A1 - 本人性スコア算出装置、本人性認証システム、本人性認証方法、および、プログラム - Google Patents

Abstract

本人性スコア算出装置（１０）は、認証結果情報（１１０）から得られる、通常認証の成功および失敗のユーザ数、高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきた高度認証未実施を含む全ユーザにおけるユーザ本人の割合を点推定して点推定値を算出し、当該点推定値をもとに、あらかじめ設定した、ユーザ本人の割合の値が取りうる範囲である信頼区間で、区間推定を行う確率算出部（１１６）と、を備える。

Description

本人性スコア算出装置、本人性認証システム、本人性認証方法、および、プログラム

　本発明は、Ｗｅｂサービスやオンラインシステムのアカウントにアクセスするユーザが正規のユーザであるかを定量的に推定する、本人性スコア算出装置、本人性認証システム、本人性認証方法、および、プログラムに関する。

　ユーザにとって、便利なログイン手法として、シングルサインオン（ＳＳＯ：Single Sign On）システムが知られている。シングルサインオンとは、１度のユーザ認証によって複数のシステム（Ｗｅｂサービスや社内システム、クラウドサービス等）の利用が可能となる仕組みを意味する。

　例えば、図２１に示すようなシングルサインオンシステム１ａでは、ユーザの振る舞いに関する情報を収集して、本人性スコア算出機能（図２１の本人性スコア算出装置１０ａ）において、ユーザの本人性のスコアを算出する。ユーザの振る舞いに関する情報としては、ユーザのアカウントへのアクセス時刻、利用している端末やデバイス、アクセス時の位置情報などがある。
　また、シングルサインオンシステム１ａの認証機能（図２１の認証装置２０ａ）が、本人性スコア算出装置１０ａが算出した、ユーザの本人性のスコアに基づいて、本人性の低い（スコアの高い）ユーザに対しては、２段階認証などの厳格な認証を行ってから、アカウントへのアクセスを許可する。
　なお、本明細書において「本人性」とは、アカウントにアクセスしてくるユーザが、そのアカウントに紐づく真のユーザ（本人）であることの信頼性を意味する。

　図２１で示すシングルサインオンシステム１ａにおける本人認証の処理の流れについて説明する。なお、ここでは、シングルサインオン（以下、「ＳＳＯ」と記載することがある。各図も同様。）を利用するシステムとして、Ｗｅｂサーバ５１、社内システム５２、クラウドサービス５３等をユーザが利用する環境において、Ｗｅｂサーバ５１に対しアクセスする例として説明する。

　（ステップＳ１）まず、ユーザはユーザ端末３を用いてＷｅｂサービスを利用するために、Ｗｅｂサーバ５１にアクセスしてログイン要求する。
　（ステップＳ２）Ｗｅｂサーバ５１は、ユーザを認証するために、ユーザ端末３を経由して、シングルサインオンシステム１ａにリダイレクトする。

　（ステップＳ３）シングルサインオンシステム１ａの認証装置２０ａは、ユーザ端末３から、ユーザの振る舞い情報として、位置情報、端末種別（デバイス情報）を取得する。
　（ステップＳ４）認証装置２０ａは、位置情報、端末種別（デバイス情報）を、アクセス時刻とともに、本人性スコア算出装置１０ａに送信する。

　（ステップＳ５）本人性スコア算出装置１０ａは、認証装置２０ａから取得した、位置情報、端末種別（デバイス情報）、アクセス時刻を、ユーザ振る舞い情報テーブルに格納する。そして、本人性スコア算出装置１０ａは、位置情報、端末種別（デバイス情報）、アクセス時刻ごとの過去のアクセス時の情報との差分に基づいてスコアを算出し記録する。

　この本人性スコア算出装置１０ａが算出するユーザの本人性のスコアは、ユーザの振る舞い情報の項目ごとに、取得したユーザ振る舞い情報に基づきアカウントにアクセスしようとしているユーザがアカウントの所有者であるかを推定し、数値で評価するものである。そして、本人性のスコアの算出では、過去のアクセス時の情報との差分が大きいほど、スコアが大きい値とする。例えば、位置情報では、いつもと異なるエリアからの接続ほどスコアの値を大きくする。端末種別（デバイス情報）では、いつもと異なるデバイスでの接続ほど、スコアの値を大きくする。アクセス時刻では、いつもと異なる時刻にアクセスした場合ほど、スコアの値を大きくする。本人性スコア算出装置１０ａは、図２２で示すように、ユーザの振る舞い情報の項目ごとに評価した数値を合算した値を、ユーザの本人性のスコアとして算出し記憶する。

　（ステップＳ６）本人性スコア算出装置１０ａは、算出したユーザの本人性のスコアを、認証装置２０ａに送信する。
　（ステップＳ７）認証装置２０ａは、本人性のスコアが、予め設定された閾値を超えている場合には、２段階認証を実行してユーザを認証する。また、閾値を超えていない場合、認証装置２０ａは、デフォルトの認証手法によりユーザを認証する。
　このようにして、シングルサインオンシステム１ａにより、本人性のスコアを用いて本人認証を行うことができる。

　一方、アカウントにアクセスするユーザの本人性に関する技術として、非特許文献１に記載の技術がある。
　非特許文献１には、Ｗｅｂサービスなどのアカウントにアクセスするユーザのうち本人である割合を推定して本人性スコアを算出し、認証する技術が記載されている。非本人の割合を推定するための認証を併用することで、非本人の認証成功をほぼ抑止できる。

大森芳彦, 山下高生, "アカウントにアクセスするユーザ群の信頼性確定技術に関する検討," マルチメディア，分散，協調とモバイルシンポジウム, 令和4年7月

　しかしながら、図２１および図２２に記載の技術では、個々のユーザの本人性のスコアを数値化（スコア化）しているので、ネットワークやサーバの運用状態（例えば、ネットワークやサーバへの攻撃と思われるトラヒック量の変化）に基づいてセキュリティと利便性を最適化した認証を行うことは困難である（課題Ａ）。

　また、図２１に記載の技術では、ユーザの本人性のスコアが、製品ごとに独自の基準でスコア化したものであるため、アカウントの保守者は、本人ではないユーザ（アカウントの所有者ではない、なりすまし等）がもたらす脅威が発生したときの影響評価と対応判断に、製品ごとに異なるノウハウの習得が必要になる（課題Ｂ）。さらに、独自の基準でユーザの本人性を数値化しているため、複数の製品の各数値を統合して本人性を評価することが難しい（課題Ｃ）。

　一方、図２２に記載の技術では、保守者の高度な知識に基づいて、ユーザの振る舞いに関するパラメータや状態遷移確率が抽出されていることが前提であり、攻撃が起こる確率（本人でない確率）や、インシデントが他のインシデントをもたらす確率などが、既知でないと、ユーザの本人性を確率で数値化できない（課題Ｄ）。

　さらに、非特許文献１に記載の技術では、ユーザの本人性のスコアの算出において、本人の割合の推定値が、どの程度の確からしさなのかが分からない課題がある（課題Ｅ）。また、本人の割合が動的に変化する運用環境では、標本数の最適な制御ができないことが考えられる。

　このような点に鑑みて本発明がなされたのであり、本発明は、ユーザの本人性のスコアの算出において、本人の割合の点推定値の確からしさを定量的に可視化することを課題とする。

　本発明に係る本人性スコア算出装置は、ユーザ認証を行う認証装置に接続され、ユーザの本人性を示すスコアを算出する本人性スコア算出装置であって、前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、前記本人性スコア算出装置は、ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集する振る舞い情報収集部と、前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集する認証結果収集部と、所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知する高度認証制御部と、前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきた高度認証未実施を含む全ユーザにおけるユーザ本人の割合を点推定して点推定値を算出し、当該点推定値をもとに、あらかじめ設定した、ユーザ本人の割合の値が取りうる範囲である信頼区間で、区間推定を行う確率算出部と、を備えることを特徴とする。

　本発明によれば、ユーザの本人性のスコアの算出において、本人の割合の点推定値の確からしさを定量的に可視化することができる。

本実施形態に係る本人性認証システムの全体構成を示す図である。 本実施形態に係る本人性認証システムの処理の概要を説明するための図である。 本実施形態に係る本人および非本人の認証結果を説明するための図である。 本実施形態に係る本人性認証システムの標本比率の分布関数と区間推定を説明する図である。 本実施形態に係る本人性認証システムの標本比率の分布関数と区間推定を説明する図である。 本実施形態に係る本人性認証システムの高度認証失敗した本人の割合を０．０１～０．５まで変化させた時の補正項の値を示す図である。 本実施形態に係る本人性認証システムのサンプリングの割合と抽出期間の動的制御を説明する図である。 本実施形態に係る本人性スコア算出装置の構成例を示す機能ブロック図である。 本実施形態に係る認証結果ＤＢに格納される認証結果情報のデータ構成例を示す図である。 本実施形態に係る振る舞い情報ＤＢに格納される振る舞い情報（アクセス情報および行動履歴情報）のデータ構成例を示す図である。 本実施形態に係る統計情報ＤＢに格納される統計情報のデータ構成例を示す図である。 本実施形態に係る認証装置の構成例を示す機能ブロック図である。 本実施形態に係る認証装置による通常認証手法の選択処理を説明するための図である。 本実施形態に係る本人性認証システムが実行する処理の流れを示すシーケンス図である。 本実施形態に係る本人性認証システムの区間推定およびサンプリング制御処理の流れを示すシーケンス図である。 本実施形態に係る本人性認証システムの統計情報ＤＢに格納される統計情報のデータ構成例を示す図である。 本実施形態に係る本人性認証システムのサンプリング情報ＤＢに格納されるサンプリング履歴情報のデータ構成例を示す図である。 本実施形態に係る本人性認証システムのサンプリング情報ＤＢに格納される点推定値の差分ごとの抽出割合と抽出期間の一覧情報のデータ構成例を示す図である。 本実施形態に係る本人性認証システムのサンプリング情報ＤＢに格納される閾値情報を示す図である。 本実施形態に係る本人性スコア算出装置および認証装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。 従来のシングルサインオンシステムを説明するための図である。 従来技術におけるユーザの本人性のスコアの算出例を説明するための図である。

　次に、本発明を実施するための形態（以下、「本実施形態」と称する。）について説明する。
　図１は、本実施形態に係る本人性認証システム１の全体構成を示す図である。
　本実施形態に係る本人性認証システム１は、認証装置２０および本人性スコア算出装置１０により構成されるシングルサインオン（ＳＳＯ）システムである。この本人性認証システム１の認証装置２０が、ユーザの認証を受け付けることにより、Ｗｅｂサービスを提供するＷｅｂサーバ５１や、社内システム５２、クラウドサービス５３等について、１度の認証によりユーザのアカウントを一元的に管理する。

　また、本人性認証システム１は、アカウントに紐づくヒトの振る舞いに関する情報を、サービス利用環境（位置情報、利用時間、回線情報、ＩＤ情報など）および行動履歴からユーザの手間をかけずに収集する。例えば、ユーザの行動履歴の情報を、外部サーバ４０（例えば、入退室管理サーバ等）から取得する。つまり、アカウントの認証チャネルとは別のチャネルの機器やシステム（アウトオブバンド）から、アカウントに紐づくヒトの振る舞いに関する情報を取得する。そして、取得したヒトの振る舞いに関する情報を、認証手法（後記する、「高度認証手法」）の選択の判断に利用する。

　さらに、本人性認証システム１は、アカウントにアクセスしてきた高度認証未実施を含む全ユーザにおけるユーザ本人の割合を点推定して点推定値を算出し、当該点推定値をもとに、あらかじめ設定した、ユーザ本人の割合の値が取りうる範囲である信頼区間で、区間推定を行う（後記「区間推定」）。また、本人性認証システム１は、高度認証を行うユーザを抽出する割合、および／または、高度認証を行うユーザをサンプリングする抽出期間を制御する（後記「サンプリング制御」）。

＜概要および技術思想＞
　まず、本実施形態に係る本人性認証システム１の概要と、上記した課題Ａ～Ｄを解決する技術思想について説明する。
　本実施形態に係る本人性認証システム１は、上記した課題Ａを解決するため、運用中にＷｅｂサーバ５１や、社内システム５２、クラウドサービス５３等にアクセスするユーザ全体の本人性の割合の傾向を評価する。つまり、個々のユーザの本人性ではなく、ユーザ全体の本人性の割合に着目する。また、上記した課題Ｂ，Ｃを解決するため、本人性認証システム１（本人性スコア算出装置１０）は、Ｗｅｂサーバ５１や社内システム５２、クラウドサービス５３等にアクセスするユーザの本人性を、装置の独自基準によらず、客観的な数値として確率で評価することを可能にする。また、上記した課題Ｄを解決するため、本人性認証システム１（本人性スコア算出装置１０）は、Ｗｅｂサーバ５１等のアカウントに紐づくヒトの振る舞いに関する観測可能な情報を用いて、Ｗｅｂサーバ５１等にアクセスするユーザの本人性をスコアリングすることを可能にする。

　上記した課題を解決するための本人性認証システム１の機能（および処理）に関する技術思想について説明する。
　本実施形態に係る本人性認証システム１では、上記課題Ａを解決するため、Ｗｅｂサーバ５１や社内システム５２、クラウドサービス５３等にアクセスするユーザ全体における本人性の割合の傾向を評価する確率の推定値に基づいて、最適な強度の通常認証の手法を（自動的に）選択できるようにする。また、課題Ｂ，Ｃを解決するため、ユーザの本人性を、装置の独自基準によらず、客観的な数値として確率で評価できるようにする。また、課題Ｄを解決するため、Ｗｅｂサービス等のアカウントに紐づくヒトの振る舞いに関する観測可能な情報を用いて、Ｗｅｂサービス等にアクセスするユーザの本人性のスコアリングを可能にする。つまり、過去のサービス運用実績などの保守者の高度な知識や知見を不要とする。さらに、アカウントに紐づくヒトの振る舞いに関する情報を、サービス利用環境（位置情報、利用時間、回線情報、ＩＤ情報など）および行動履歴から、ユーザの手間をかけさせずに収集するものとする。
　そして、本人性認証システム１は、ユーザ全体における本人性の確率の推定値に基づいて、最適な強度の通常認証の手法を（自動的に）選択できるようにする。

　本人性認証システム１は、上記した課題Ａ～Ｄを解決した上で、さらに課題Ｅを解決するために、ユーザ全体における本人性の確率の点推定値に基づいて、最適な通常認証の選択を可能にし、かつ、区間推定を行って、点推定値の確からしさを評価するため、以下の技術思想を導入する。

［技術思想１：非本人の割合を推定するための高度認証］
　本人性認証システム１は、認証装置２０が従来から行う通常認証と、非本人の割合を推定するための「高度認証」とを併用する。
　ここで、通常認証とは、ユーザにアカウントの利用を許可するための手続きとして標準的な認証強度の認証であり、例えば、世の中で広く用いられている、ユーザＩＤとパスワードによる認証である。
　本人性認証システム１では、通常認証の他に、ランダムにサンプリングしたユーザについて、アカウントにアクセスするユーザ群の中で本人でないユーザ（以下、「非本人」と称する。）の割合を推定するためのユーザ認証（以下、「高度認証」と称する。）を行う。

　高度認証は、強度の高いユーザ認証を意味し、ユーザ本人であれば認証失敗することをほぼ抑止し（ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し）、非本人であれば認証成功することほぼ抑止する（非本人であれば認証成功することを第２の所定レベル以下に抑止する）レベルの認証を意味する。
　高度認証として、例えば、スマートカードや、ＳＭＳ（Short Message Service）認証、利用時にロック解除や回線利用などを必要とするアウトオブバンドでの認証手法であり、多要素かつ暗号学的に十分な強度を持つ認証手法を用いる。
　なお、本実施形態において、「多要素かつ暗号学的に十分な強度を持つ」という意味を、「ユーザ本人であれば認証失敗することをほぼ抑止する（ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する）」、「非本人であれば認証成功することほぼ抑止する（非本人であれば認証成功することを第２の所定レベル以下に抑止する）」と同じ意味として用いる。

［技術思想２：複数の高度認証の中からユーザ本人が認証失敗することを抑止できる高度認証を選択］
　本人性認証システム１は、高度認証の手法を複数用意しておき、アクセスするアカウントに紐づくヒトの振る舞いに関する情報に基づいて、ユーザ本人が認証失敗することを抑止できる高度認証を選択する。

　図２で示すように、本人性認証システム１では、通常認証に加えて、複数の高度認証の手法（高度認証手法「１」～「ｎ」）を備える。そして、アカウントにアクセス要求してきたユーザのうち、ランダムに選択したユーザについて、通常認証に加えて、複数の高度認証（高度認証手法「１」～「ｎ」）のうちのいずれかの高度認証を選択して行う。この高度認証手法の選択は、アクセスするアカウントに紐づくヒト（ユーザ）の振る舞いに関する情報（後記する「振る舞い情報」）に基づき行われる（図２の符号ｘ）。

　高度認証手法の選択は、例えば、以下のように行われる。
　（例１）アクセスするアカウントに紐づくヒトが、直近に、ＩＤ連携先の他のアカウントにマイナンバーカードを用いた何らかの認証を行いて成功していた場合、マイナンバーカードを用いた高度認証を選択する。
　（例２）アクセスするアカウントに紐づくヒトが、直近に、予め登録済みの携帯端末からネットワークにアクセスしていた場合、ＳＭＳを用いた高度認証を選択する。
　（例３）アクセスするアカウントに紐づくヒトが、オフィスに入室後であり、入出時にＩＣカード機能を持つ社員証（スマートカード）でドア開閉を行った場合、スマートカードを用いた高度認証を選択する。
　（例４）アクセスするアカウントに紐づくヒトが、在宅勤務を予定している場合、予め登録済みの自宅の回線ＩＤを用いた高度認証を選択する。

　このように、本人性認証システム１では、アクセスするアカウントに紐づいたヒトの振る舞い情報を記憶しておき、アクセスしてきたヒトのリアルタイムの振る舞いに基づいて、高度認証を選択する。ヒトの振る舞い情報を利用することで、本人が認証失敗することを抑止することができる。

［技術思想３：ユーザ全体における本人性の確率の推定値の算出手法］
　本人性認証システム１では、以下に示す前提を用いて、ユーザ全体における本人性の確率の推定を行う。
　（前提１）選択した高度認証手法では、本人はほぼ認証成功し（ユーザ本人であれば認証失敗することが第１の所定レベル以下であり）、非本人はほぼ認証を失敗する（非本人であれば認証成功することが第２の所定レベル以下である）。
　（前提２）非本人によるアカウントへのアクセスは、アカウントの状態（利用中かどうか、利用しているユーザの位置情報や回線種別などの環境）には関わらない。つまり、技術思想２で示した高度認証手法の選択が、非本人の割合に関して恣意的にならないものとする。
　（前提３）所定期間に認証要求してきた全ユーザ（母集団Ｎ₂）から、ランダムにサンプリングしたユーザ群（Ｎ₁）において、以下の割合は、母集団でのそれらの割合と近似できる。なお、（前提３）を実現するために（前提１）および（前提２）が必要となる。

　ここで、図３で示すように、ａ₁は、ユーザ群（Ｎ₁）において、通常認証に成功し、選択した高度認証にも成功した本人の数を示す。ｃ₁は、ユーザ群（Ｎ₁）において、通常認証に失敗し、選択した高度認証で成功した本人の数を示す。ｂ₁は、ユーザ群（Ｎ₁）において、通常認証に成功し、選択した高度認証で失敗した非本人の数を示す。ｄ₁は、ユーザ群（Ｎ₁）において、通常認証に失敗し、選択した高度認証でも失敗した非本人の数を示す。
　また、ａ₂は、母集団（Ｎ₂）において、通常認証に成功した本人の数を示す。ｃ₂は、母集団（Ｎ₂）において、通常認証に失敗した本人の数を示す。ｂ₂は、母集団（Ｎ₂）において、通常認証に成功した非本人の数を示す。ｄ₂は、母集団（Ｎ₂）において、通常認証に失敗した非本人の数を示す。

　本人性認証システム１では、選択した高度認証手法に基づき、観測可能な以下の情報を収集する（図３参照）。

　そして、本人性認証システム１は、母集団における、「非本人が通常認証に成功する割合β_２」、および、「全ユーザに対する非本人の割合γ_２」を、以下の式（１）および式（２）に基づき算出する。

　この「非本人が通常認証に成功する割合β_２」（式（１））は、全アカウントを対象にして、所定期間内にアクセスしてきた非本人のうち、通常認証に成功する割合である。これは、１アカウント当たりで非本人が乗っ取った（認証に成功した）割合を示している。
　また「全ユーザに対する非本人の割合γ_２」（式（２））は、１アカウント当たりの攻撃の割合を示している。
　この式（１）、式（２）と、上記した観測可能なＮ₂ ^(a+b)＝ａ₂＋ｂ₂ …式（３）、および、Ｎ₂ ^(c+d)＝ｃ₂＋ｄ₂ …式（４）とを用いて、連立方程式を解くことにより、ａ₂、ｂ₂、ｃ₂、ｄ₂を求めることができる。

　具体的には、本人性認証システム１は、母集団における、「通常認証に成功する本人の数ａ₂」、「通常認証に成功する非本人の数ｂ₂」、「通常認証に失敗する本人の数ｃ₂」、「通常認証に失敗する非本人の数ｄ₂」を次の式により算出する。

　そして、本人性認証システム１は、所定期間に通常認証に成功したユーザにおいては、本人である確率（Ｐ_S ^P）（式（５））を用いて本人性を推定し、本人ではない確率（Ｐ_S ⁿ）（式（６））を用いて本人性を推定する。

　また、本人性認証システム１は、所定期間に通常認証に失敗したユーザにおいては、本人である確率（Ｐ_f ^P）（式（７））を用いて本人性を推定し、本人ではない確率（Ｐ_f ⁿ）（式（８））を用いて本人性を推定する。

　本人性認証システム１は、所定期間にアクセスしてきた全ユーザにおいては、次の式（９）を用いて、本人である確率（Ｐ_t）を推定する。

　このように、本人性認証システム１では、所定期間に通常認証に成功したユーザにおいては、本人である確率（Ｐ_S ^P）を、式（５）を用いて本人性を推定することができる。
　また、本人性認証システム１では、通常認証に失敗した場合も含めた本人である確率（Ｐ_t）を、式（９）を用いて本人性を推定することができる。
　以上、本人の割合を推定（点推定）について説明した。

　ここで、本人の割合を推定（点推定）できたとしても、（ａ）本人の割合の推定値が、どの程度の確からしさなのかが分からない。また、（ｂ）本人の割合が動的に変化する運用環境では、標本数（この場合、高度認証を行うユーザ数）の最適な制御ができない、ことが着眼点として挙げられる。

　上記（ａ）については、推定値の確からしさを定量的に可視化する［本人推定値の確からしさを評価する区間推定］により対応する。

　上記（ｂ）については、本人の割合の変化に推定値が追従するために、限られた期間で標本を収集する［高度認証を行うユーザをサンプリングする処理］により対応する。このサンプリング処理は、運用時に求められる推定値の精度の範囲で、高度認証を行うユーザ数の割合を最適化するものである。高度認証を行うユーザ数の割合が多い場合、推定値の精度は高く、その割合が少ない場合、推定値の精度は低いものとなる。
　以下、［本人推定値の確からしさを評価する区間推定］および［高度認証を行うユーザをサンプリングする処理］について説明する。

［技術思想４：本人推定値の確からしさを評価する区間推定］
　本人性認証システム１は、本人の割合を推定（点推定）した処理の後に、区間推定を行う処理を行う。
　区間推定については、本人の割合を推定（点推定）する機能と連携して、本人である比率と、高度認証に成功した比率の視点を組み合わせることを特徴とする。
　区間推定により、本人推定値の確からしさを評価することができ、本人が高度認証に失敗（False Negative）することによる影響を考慮することができる。

　図４は、標本比率の分布関数と区間推定を説明する図である。横軸に標本比率を示し、縦軸に確率密度を示している。
　図４に示すように、標本比率（ここでは、本人の割合）の分布は、標本数（ここでは、高度認証を行うユーザ数）が大きくなると、母集団の分布に関わらず、正規分布に近似していく。図４に示す信頼区間（例えば９５％）の範囲を推定する。

　本人の割合を推定（点推定）した処理の後に、区間推定を行う処理を追加する。
　また、高度認証を行うユーザをサンプリングする処理に、本人の割合の点推定値が基準値以下の場合に、本人の割合の変化量に基準を設けて、基準に従った割合と抽出期間でサンプリングする処理（図１５）を追加する。基準値を設ける理由は、ユーザの利便性を考慮したためである。

 <本人の割合を区間推定する手法の詳細>
　本人の割合を区間推定する手法の詳細について説明する。
・本人の割合ｐの区間推定式
　本人の割合ｐの区間推定式は、式（１０）で示される。

　上記式（１０）について、図５を参照して説明する。
　図５は、標本比率（ここでは、本人の割合ｐ）の分布関数と区間推定を説明する図である。横軸に標本比率を示し、縦軸に確率密度を示している。
　本人の割合ｐ、本人の割合の標本値ｐ^（「ｐハット」）とした場合、式（１０）のＰ（）内において、ｐの右辺と左辺のｐ^は、図５に示す分布関数の「信頼区間（１－α）の中心の値」である。また、式（１０）のｐの右辺と左辺における{}内は、図５に示す分布関数の「信頼区間（１－α）の幅の値」である。αは、信頼区間から外れる確率であり、正規分布の場合、α＝α／２＋α／２である。

・高度認証に失敗する本人がいない場合の、本人の割合ｐの区間推定式
　高度認証に失敗する本人がいない場合の、本人の割合ｐの区間推定式は、高度認証成功した本人の割合の標本値ｐ^_ｘとすると、式（１０）から、式（１１）で示される。

・高度認証に失敗する本人がいる場合の、本人の割合ｐの区間推定式
　本人の割合ｐの区間推定式の算出には、高度認証に成功したユーザ数だけではなく、高度認証に失敗した本人数（本人であっても高度認証には失敗する場合がある）を加算する必要がある。
　高度認証に失敗する本人がいる場合、本人の割合の標本値は、高度認証に成功したユーザ数と高度認証に失敗した本人数をカウントして、式（１２）に従って算出する。すなわち、式（１２）は、高度認証成功した本人の割合の標本値ｐ^_ｘに高度認証失敗した本人の割合の標本値ｐ^_ｙを加えた場合の式であり、具体的には、式（１１）のｐ^_ｘを（ｐ^_ｘ＋ｐ^_ｘ）に置き換えている。

・高度認証に失敗する本人がいる場合の、本人の割合ｐの区間推定式に補正項を追加した式
　式（１３）は、式（１２）の区間推定式に、補正項（図６で後述）を追加して安全側に配慮した区間推定式である。信頼区間の中心の値と、信頼区間の幅の値にそれぞれ補正項（式（１３）参照）を追加する。

　上記式（１３）が、［本人推定値の確からしさを評価する区間推定］に用いる式である。
　高度認証を行った結果（認証成功／認証失敗）を観測（標本抽出）し、式（１３）を適用して、本人の割合ｐを区間推定する。

・信頼区間の中心の値の補正項
　信頼区間の中心の値の補正項（中心値補正項）について説明する。
　(1)補正項がない場合、信頼区間の中心の値に誤差を発生させるものの、値を小さく見積もることになる。このことから、本人の割合をＮＷセキュリティ上安全側に評価することになる。

　(2)高度認証失敗した本人の割合ｐ^_ｙが小さいほど、補正項の値は小さくなる。

　(3)高度認証失敗した本人の割合ｐ^_ｙの観測が困難（認証失敗したユーザには非本人が含まれる）場合、信頼区間の中心の値の補正項については算出困難である。このため、上記(1)，(2)を踏まえて補正項は省略し、ユーザの振る舞いにもとづいて最適な高度認証を選択して、認証失敗する確率を抑止する。

・信頼区間の幅の値の補正項
　信頼区間の幅の値の補正項（幅値補正項）について説明する。
　(1)補正項（＜０)がない場合、信頼区間の幅の値に誤差を発生させるものの、値を大きく見積もる（幅を広げる）ことになる。このため、ＮＷセキュリティ上安全側に評価することになる。

　(2)高度認証失敗した本人の割合ｐ^_ｙが大きいほど、補正項の値は小さくなる（絶対値は大きくなる）が、ネットワークの実運用上の範囲で、最大で約-0.1%～-1%程度と想定できる。

　(3)高度認証失敗した本人の割合ｐ^_ｙの観測が困難（認証失敗したユーザには非本人が含まれる）場合、信頼区間の中心の幅の補正項については算出困難である。このため、上記(1)，(2)を踏まえて補正項は省略し、ユーザの振る舞いにもとづいて最適な超強力認証を選択して、認証失敗する確率を抑止する。

・信頼区間の幅の値の補正項
　信頼区間の幅の値の補正項について説明する。
　図６は、高度認証失敗した本人の割合を0.01～0.5まで変化させた時の補正項の値を示す図である。横軸に高度認証失敗した本人の割合をとり、縦軸に信頼区間（図５の分布関数の片側）の観測誤差の最大値をとる。縦軸の信頼区間の観測誤差は、補正項の値である。図６の補正項の値は、その絶対値が最大になるような条件で算出した。
　図６中の黒丸（●印）は観測点を示し、これらを結ぶ実線は、ユーザ全体における本人の割合を表わしている。全ユーザのうち、高度認証成功したユーザと認証失敗した本人の割合の合計を１とした（絶対値が最大になる条件）。認証を行ったユーザ数(認証数)n=10,000，標準正規分布での信頼区間（１－α）における確率変数の上限値T=3とした。
　信頼区間の幅の値の補正項は、図６に示す補正項の値を用いることができる。

　以上、本人の割合を推定（点推定）後に、式（１３）を適用した区間推定を連携させることにより、本人推定値の確からしさを評価することができ、本人が高度認証に失敗することによる影響を考慮することができる。

［技術思想５：高度認証を行うユーザをサンプリングする処理］
　加えて、本人性認証システム１は、本人の割合の推定値の精度を維持しつつ、運用時の本人の割合の変化に追従するために、推定値算出の即時性を担保する。そのために、本人性認証システム１は、標本（高度認証を行うユーザ）を抽出する割合と抽出期間を制御する。具体的には、本人性認証システム１は、本人の割合の推定値と前回測定時の推定値の値との差分にもとづいて、標本を抽出する割合と抽出期間を動的に設定する。推定値には、点推定値、または区間推定値（例えば、推定値の下限値）を用いる。

　図７は、サンプリングの割合と抽出期間の動的制御を説明する図である。本フィードバック制御は、図８の本人性スコア算出装置１０の制御部１１により実行される。
　図７に示すように、本人の割合の推定値を入力し、前回測定時の推定値の値との差分をとる（ステップＳ１）。ステップＳ２では、前回測定時の推定値の値との差分を入力し、サンプリングの抽出期間を算出する。ステップＳ３では、算出されたサンプリングの抽出期間をもとに、サンプリングの割合を算出し、サンプリングの割合およびサンプリングの抽出期間を、本人の割合の推定値として出力する。ステップＳ４では、出力した本人の割合の推定値を前回の推定値として保存する。

　このように、本人性認証システム１は、高度認証を行うユーザをサンプリングする処理において、本人の割合の点推定値が基準値以下の場合に、本人の割合の変化量に基準を設けて、基準に従った割合と抽出期間でサンプリングする処理を行う。
　本人の割合の変化への追従については、点推定あるいは区間推定する機能と連携して、標本の割合と抽出期間を制御することを特徴とする。
　点推定値を用いて標本（高度認証を行うユーザ）の割合と抽出期間を制御することで、運用時の本人の割合の変化に追従することができる。

　次に、本実施形態に係る本人性認証システム１を構成する、本人性スコア算出装置１０および認証装置２０について、具体的に説明する。

＜本人性スコア算出装置＞
　図８は、本実施形態に係る本人性スコア算出装置１０の構成例を示す機能ブロック図である。
　本人性スコア算出装置１０は、ユーザがユーザ端末３により、Ｗｅｂサーバ５１等のアカウントにアクセスした際の通常認証および高度認証の結果を、認証装置２０から取得し、アクセスしてきたユーザの本人性の確率を算出する。この本人性スコア算出装置１０は、アクセスするアカウントに紐づくヒト（ユーザ）の振る舞いに関する情報として、サービス利用環境（位置情報、利用時間、回線情報、ＩＤ情報など）や、行動履歴等を、「振る舞い情報」と収集し、本人が認証失敗するのを抑止できる、高度認証の手法を選択する。
　この本人性スコア算出装置１０は、制御部１１と、入出力部１２と、記憶部１３と、を備えるコンピュータにより構成される。

　入出力部１２は、認証装置２０や、振る舞い情報を取得するための外部サーバ４０等との間の情報について入出力を行う。この入出力部１２は、通信回線を介して情報の送受信を行う通信インタフェースと、図示を省略したキーボード等の入力装置やモニタ等の出力装置との間で情報の入出力を行う入出力インタフェースとから構成される。

　記憶部１３は、ハードディスクやフラッシュメモリ、ＲＡＭ（Random Access Memory）等により構成される。
　この記憶部１３には、通常認証および高度認証の認証結果を格納する認証結果ＤＢ１００（詳細は後記する図９参照）と、ユーザの振る舞いに関する情報（振る舞い情報）を格納する振る舞い情報ＤＢ２００（詳細は後記する図１０参照）と、通常認証および高度認証の結果を用いて算出された統計情報を格納する統計情報ＤＢ３００（詳細は後記する図１１参照）と、サンプリング情報ＤＢ４００（詳細は後記する図１７～図１９参照）と、を備える。
　また、記憶部１３には、制御部１１の各機能を実行させるためのプログラムや、制御部１１の処理に必要な情報が一時的に記憶される。

　制御部１１は、本人性スコア算出装置１０が実行する処理の全般を司り、図８で示すように、認証結果収集部１１１と、振る舞い情報収集部１１２と、外部サーバ連携部１１３と、高度認証制御部１１４と、統計処理部１１５と、確率算出部１１６と、サンプリング制御部１１７と、を含んで構成される。

　認証結果収集部１１１は、ユーザがアカウントにアクセスした際に、認証装置２０により行われる通常認証、および、高度認証が行われた場合には、その高度認証の結果を、認証装置２０から取得し、その認証結果の情報（認証結果情報１１０）を認証結果ＤＢ１００に格納する。

　図９は、本実施形態に係る認証結果ＤＢ１００に格納される認証結果情報１１０のデータ構成例を示す図である。
　認証結果情報１１０には、図９で示すように、各ユーザに固有なＩＤであるアカウント名に対応付けて、アカウントへのアクセス時刻、通常認証が成功か失敗かを示す通常認証結果、および、高度認証の結果を示す高度認証結果が格納される。
　なお、高度認証結果は、高度認証が実行された場合に、「成功」または「失敗」が格納され、高度認証の対象とならたかった場合には、「未実施」が格納される。

　図８に戻り、振る舞い情報収集部１１２は、ユーザのサービス利用環境に関する情報（アクセス情報）や、ユーザの行動履歴に関する情報（行動履歴情報）を取得し、振る舞い情報２２０として振る舞い情報ＤＢ２００に格納する。

　図１０は、本実施形態に係る振る舞い情報ＤＢ２００に格納される振る舞い情報２２０（アクセス情報２２１および行動履歴情報２２２）のデータ構成例を示す図である。
　図１０で示すように、アクセス情報２２１には、ユーザがアカウントへアクセスした際のサービス利用環境に関する情報として、各ユーザに固有なＩＤであるアカウント名に対応付けて、アクセス時刻、端末種別、位置等の情報が格納される。これ以外にも、端末種別が「スマホ」であれば、ＳＭＳ認証に必要なスマホのアドレス情報や、端末種別が「ＰＣ」であり、在宅勤務であれば回線情報等が、ユーザのアカウント名に紐づけられて格納される。
　なお、振る舞い情報収集部１１２は、このアクセス情報２２１を、認証装置２０がユーザ端末３から収集した情報を受け取ることにより取得する。

　また、振る舞い情報収集部１１２は、アウトオブバンドのシステムとしての外部サーバ４０から、ユーザの行動履歴に関する情報（行動履歴情報２２２）を取得する。例えば、アウトオブバンドのシステムが、オフィス等の入退室管理システムである場合、外部サーバ連携部１１３を介して、外部サーバ４０である入退室管理サーバから、図１０で示すように、アカウントに紐づいたヒトの入退室時刻の情報（入退室管理情報）を取得し、振る舞い情報ＤＢ２００に格納する。

　外部サーバ連携部１１３は、ユーザ端末３とのチャネル（情報伝達経路）以外のチャネルから、ユーザの行動履歴を取得するための各種外部サーバ４０との連携処理（アウトオブバンド連携処理）を行う。例えば、上記のように、入退室管理サーバとの間で、アカウントに紐づくヒトの入退室時間等の送受信を行うための要求メッセージや応答メッセージの生成処理等を行う。

　高度認証制御部１１４は、所定期間内にアクセスしてきたユーザに対して、高度認証を行うか否かを判定する。高度認証制御部１１４は、上記した技術思想３の（前提２）を担保するため、通常認証を行ったユーザからランダムに高度認証を行うユーザを選択する。

　また、高度認証制御部１１４は、高度認証を行うとしたユーザに関し、振る舞い情報２２０（図１０）を用いて、サービス利用環境に関する情報であるアクセス情報２２１や行動履歴情報２２２と、複数の高度認証のうちのユーザが認証に成功する高度認証との対応関係を、所定のロジックに基づくプロファイル（分析結果）として保持しておく。
　例えば、直前に、スマホからアクセスがあった場合には、高度認証として、ＳＭＳ認証を用いるとのプロファイルが作成される。直前に、オフィスの入退室記録がある場合には、オフィスビル等の入退室管理情報に基づき、社員証等のスマートカードによる認証を用いるとのプロファイルが作成される。

　高度認証制御部１１４は、高度認証を行うことに決定したユーザに対し、当該プロファイルを用いて、アカウントに紐づくヒト（ユーザ）であれば認証成功する高度認証の手法を決定する。
　そして、高度認証制御部１１４は、そのアカウントに紐づくユーザについて決定した高度認証手法を、認証装置２０に通知する。

　統計処理部１１５は、所定期間にアクセスしてきた全ユーザについて、通常認証や各種の高度認証を行った結果としての統計値（ユーザ数）を算出し、統計情報３１０として、統計情報ＤＢ３００に格納する。

　図１１は、本実施形態に係る統計情報ＤＢ３００に格納される統計情報３１０のデータ構成例を示す図である。
　図１１で示すように、統計情報３１０は、各高度認証の手法ごとに、その高度認証の結果（成功／失敗）と、その高度認証を行ったユーザの通常認証の結果が対応付けられて格納される。また、高度認証が未実施のユーザについての通常認証の結果（成功／失敗）のユーザ数が格納される。

　図８に戻り、確率算出部１１６は、統計情報ＤＢ３００に格納された統計情報３１０を参照して、アカウントにアクセスしてきたユーザの本人性の割合（ユーザの本人性の確率）を点推定し、サンプリング情報ＤＢ４００に保管する。
　確率算出部１１６は、所定期間に通常認証に成功したユーザにおいては、本人である確率（Ｐ_S ^P）を、上記した式（５）を用いて算出する。
　なお、確率算出部１１６は、通常認証に失敗した場合も含めた本人である確率（Ｐ_t）を、式（９）を用いて算出してもよい。

　確率算出部１１６が、アカウントにアクセスしてきたユーザの本人性の確率の計算式として、式（５）および式（９）のどちらを用いるかは、予め決定しておく。そして、確率算出部１１６は、算出した本人の割合を点推定した結果を認証装置２０に送信する。

　確率算出部１１６は、点推定した結果を用いて、運用開始時にあらかじめ設定した信頼区間で、区間推定を行う。

　サンプリング制御部１１７は、確率算出部１１６が算出した点推定値、または区間推定値（例えば下限値）を用いて、高度認証を行うユーザを抽出する割合と抽出期間を決定する。また、サンプリング制御部１１７は、高度認証を行うユーザを抽出する割合と抽出期間をサンプリング情報ＤＢ４００に保管する。

＜認証装置＞
　次に、本実施形態に係る認証装置２０について説明する。
　図１２は、本実施形態に係る認証装置２０の構成例を示す機能ブロック図である。
　認証装置２０は、強度の異なる複数種類の通常認証の手法（通常認証手法）と、複数種類の高度認証の手法（高度認証手法）とを備える。認証装置２０は、ユーザ端末３からの認証要求を受け付け、予め設定しておいた通常認証を行うとともに、ユーザのサービス利用環境に関する情報（アクセス情報２２１）を取得する。そして、認証装置２０は、通常認証の結果やアクセス情報２２１を、本人性スコア算出装置１０へ送信する。また、認証装置２０は、本人性スコア算出装置１０から、高度認証を行うことに決定したユーザについて、決定した高度認証手法の情報を受け取り、その高度認証手法を行った上でその認証結果を本人性スコア算出装置１０に送信する。
　また、認証装置２０は、本人性スコア算出装置１０から、ユーザの本人性確率（推定値）の情報を取得し、非本人の割合の増加による脅威とユーザの利便性を考慮した、最適な通常認証手法を選択する。
　この本人性スコア算出装置１０は、制御部２１と、入出力部２２と、記憶部２３とを備えるコンピュータにより構成される。

　入出力部２２は、本人性スコア算出装置１０や、ユーザ端末３、Ｗｅｂサーバ５１，社内システム５２、クラウドサービス５３等との間の情報について入出力を行う。この入出力部２２は、通信回線を介して情報の送受信を行う通信インタフェースと、図示を省略したキーボード等の入力装置やモニタ等の出力装置との間で情報の入出力を行う入出力インタフェースとから構成される。

　記憶部２３は、ハードディスクやフラッシュメモリ、ＲＡＭ（Random Access Memory）等により構成される。
　この記憶部２３には、アクセスしてきたユーザの通常認証に必要な情報がユーザ情報ＤＢ５００に格納される。例えば、アクセスしてきたユーザのアカウント名（ユーザＩＤ）とパスワードの情報や、ユーザ端末３のアドレス情報等が格納される。また、このユーザ情報ＤＢ５００には、高度認証を行った際に認証のために必要な情報も格納される。なお、この高度認証のために必要な情報は、本人性スコア算出装置１０の外部サーバ連携部１１３（図８）を介して外部サーバ４０等から取得し、ユーザ情報ＤＢ５００に格納しておいてもよい。
　また、記憶部２３には、制御部２１の各機能を実行させるためのプログラムや、制御部２１の処理に必要な情報が一時的に記憶される。

　制御部２１は、認証装置２０が実行する処理の全般を司り、図１２で示すように、アクセス情報取得部２１１と、認証処理部２１２と、通常認証選択部２１３と、認証制御部２１４と、一元情報管理部２１５とを含んで構成される。

　アクセス情報取得部２１１は、ログイン要求を受け付けたユーザ端末３から、ユーザのサービス利用環境に関する情報（アクセス情報２２１）として、端末種別や位置情報等を取得する。そして、アクセス情報取得部２１１は、アクセス時刻（例えば、ログイン要求を受信した時刻）とともに、端末種別や位置情報等のアクセス情報２２１を、本人性スコア算出装置１０へ送信する。

　認証処理部２１２は、アカウントにアクセスしてきたユーザに対する、複数種類の通常認証手法と、複数種類の高度認証手法とを保持する。
　認証処理部２１２は、アクセスしてきたユーザに対し、設定された通常認証手法により認証を行う。また、認証処理部２１２は、本人性スコア算出装置１０から、高度認証を行うことに決定したユーザについて、決定した高度認証手法の情報を受け取り、複数の高度認証手段の中から、その高度認証手法を選択して認証を行う。
　認証処理部２１２は、通常認証および高度認証の結果（成功／失敗）を、本人性スコア算出装置１０へ送信する。

　通常認証選択部２１３は、本人性スコア算出装置１０から、ユーザの本人性の確率（推定値）を、所定期間ごとに取得する。そして、通常認証選択部２１３は、取得したユーザの本人性の確率に応じて、非本人の割合の増加による脅威と、ユーザの利便性を考慮して、複数の通常認証手法から最適な通常認証手法を選択する。

　図１３で示すように、通常認証手法は、強度の高い通常認証手法「１」～強度の低い（標準の）通常認証手法「ｎ」まで、段階的に設定されている。そして、通常認証選択部２１３は、本人性スコア算出装置１０から、ユーザの本人性の確率の推定値を取得すると、例えば、ユーザの本人性の確率の推定値が、所定の閾値以上である場合には、ユーザの利便性を考慮した標準的な通常認証手法（例えば、通常認証手法「ｎ」）を選択する。標準的な通常認証手法「ｎ」は、例えば、ユーザＩＤとパスワードによる認証である。一方、通常認証選択部２１３は、ユーザの本人性の確率の推定値が、所定の閾値よりも低い場合には、ユーザの利便性を犠牲にして、比較的強度の高い通常認証手法（例えば、通常認証手法「１」）を選択する。比較的強度の高い通常認証手法「１」は、例えば、生体認証や２段階認証である。
　通常認証選択部２１３は、選択した通常認証手法の情報を、認証処理部２１２に通知することにより、通常認証手法の設定を行う。

　図１２に戻り、認証制御部２１４は、例えば、ＲＡＤＩＵＳ（Remote Authentication Dial In User Service）等のユーザ認証プロトコルに基づき、ユーザ端末３との間で認証処理を実行する。

　一元情報管理部２１５は、例えば、ＬＤＡＰ（Lightweight Directory Access Protocol）を用いることにより、１つのＩＤとパスワードで、複数のサービスを利用可能にするシングルサインオン（ＳＳＯ）を実現する。

≪処理の流れ≫
　次に、本実施形態に係る本人性認証システム１が実行する処理の流れについて説明する。
　図１４は、本人性認証システム１が実行する処理の流れを示すシーケンス図である。
　なお、ここでは、外部サーバ４０から取得する行動履歴情報２２２として、オフィス等の入退室管理システムからの情報を取得するものとして説明する。つまり、外部サーバ４０である入退室管理サーバから、本人性スコア算出装置１０が、図１０の行動履歴情報２２２で示すような、アカウントに紐づいたヒトの入退室時刻の情報（入退室管理情報）を取得するものとして説明する。

　入退室管理システムでは、例えば次のように、ユーザの入退出を管理している。
　アカウントに紐づくヒトがオフィスに出社すると、ＩＣカード機能を持つ社員証（スマートカード）を用いてフラッパーゲート等を通過することにより入室する。入退室管理サーバは、社員証から、入室したユーザのＩＤと入出時刻を取得して、自サーバに記録する。このようにして、入退室管理サーバでは、ユーザの行動履歴情報２２２を記録しておく。

　そして、先ず、ユーザがユーザ端末３（例えば、ＰＣ）を用いて、Ｗｅｂサービスを利用するために、Ｗｅｂサーバ５１にアクセスしてログイン要求を行う。
　Ｗｅｂサーバ５１は、ユーザを認証するために、ユーザ端末３を経由して、認証装置２０にリダイレクトする。

　認証装置２０は、ログイン要求のリダイレクトを受け取ると（ステップＳ１０）、アクセス情報取得部２１１が、ユーザのサービス利用環境に関する情報（アクセス情報２２１）として、端末種別や位置情報等をユーザ端末３から取得する（ステップＳ１１）。そして、アクセス情報取得部２１１は、アクセス時刻（例えば、ログイン要求を受信した時刻）とともに、端末種別や位置情報等のアクセス情報２２１を、本人性スコア算出装置１０へ送信する。
　そして、本人性スコア算出装置１０の振る舞い情報収集部１１２は、認証装置２０からアクセス情報２２１を取得し、振る舞い情報ＤＢ２００に格納する（ステップＳ１２）。

　続いて、認証装置２０の認証処理部２１２は、所定（初期設定）の通常認証手法により、アクセスしてきたユーザに関する通常認証を実行する（ステップＳ１３）。そして、認証処理部２１２は、その通常認証の結果（成功／失敗）を、本人性スコア算出装置１０へ送信する。
　本人性スコア算出装置１０の認証結果収集部１１１は、その通常認証の結果を取得すると、認証結果ＤＢ１００に、認証結果情報１１０（図９）として格納する（ステップＳ１４）。

　次に、本人性スコア算出装置１０の高度認証制御部１１４は、所定期間内にアクセスしてきたユーザに対して、通常認証に加えて、高度認証を行うか否かを決定する（ステップＳ１５）。高度認証制御部１１４は、高度認証を行うユーザか否かをランダムに決定する。

　高度認証を行うユーザについて、本人性スコア算出装置１０の振る舞い情報収集部１１２は、ユーザの行動履歴に関する情報（行動履歴情報２２２）を外部サーバ４０から取得し（ステップＳ１６）、振る舞い情報ＤＢ２００に格納する。
　ここでは、振る舞い情報収集部１１２は、入退出管理サーバ（外部サーバ４０）から、アカウントに紐づいたヒトの入退室時刻の情報（入退室管理情報）を、行動履歴情報２２２として取得する。

　次に、本人性スコア算出装置１０の高度認証制御部１１４は、高度認証を行うとしたユーザに関し、振る舞い情報２２０（図１０）を参照し、アカウントに紐づくヒト（ユーザ）であれば認証成功する高度認証の手法を決定する（ステップＳ１７）。そして、高度認証制御部１１４は、そのユーザに関する高度認証の要否（ここでは、「要」）と、決定した高度認証手法とを、認証装置２０へ通知する。

　ここで、高度認証制御部１１４は、行動履歴情報２２２（入退室管理情報）を参照することにより、例えば、図１０の符号ｙで示すように、入室時刻はあるが、退室時刻の記録がない場合、つまり、オフィス内にユーザがいると推定される場合に、アカウントに紐づくヒトであれば成功する高度認証手法として、社員証（スマートカード）を用いた高度認証に決定する。

　認証装置２０の認証処理部２１２は、該当するユーザに対し、通知された高度認証手法により、高度認証を実行する（ステップＳ１８）。ここでは、認証処理部２１２は、ユーザに対し社員証を用いた高度認証を行う。

　そして、認証処理部２１２による高度認証が成功したユーザに対して、認証制御部２１４および一元情報管理部２１５による制御により、Ｗｅｂサーバ５１に対して、アカウントのログインを許可する。

　続いて、認証装置２０の認証処理部２１２は、その高度認証の結果（成功／失敗）を、本人性スコア算出装置１０へ送信する。
　そして、本人性スコア算出装置１０の認証結果収集部１１１は、その高度認証の結果を取得すると、認証結果ＤＢ１００に、認証結果情報１１０（図９）として格納する（ステップＳ１９）。

　次に、本人性スコア算出装置１０の統計処理部１１５は、所定期間にアクセスしてきた全ユーザについて、通常認証や各種の高度認証を行った結果としての統計値（ユーザ数）を算出し、統計情報３１０（図１１）として、統計情報ＤＢ３００に格納する。

　続いて、本人性スコア算出装置１０の確率算出部１１６は、統計情報３１０（図１１）を用いて、高度認証未実施を含む全ユーザにおける本人の割合の推定（点推定）を行う。
（ステップＳ２０）。本人の割合の推定（点推定）は、本人性の確率の計算である。

　ここで、確率算出部１１６は、所定期間に通常認証に成功したユーザにおいては、本人である確率（Ｐ_S ^P）を、上記した式（５）を用いて算出する。
　確率算出部１１６は、例として、図１１で示す統計情報３１０を参照することにより、本人である確率（Ｐ_S ^P）を、式（５）を用いて計算すると、以下のスコア（点推定値）となる。例えば、アカウントにアクセスしてきた複数のユーザが通常認証に成功した場合、統計情報ＤＢ３００を用いて計算して、これらのユーザのうち、アクセスしてきたアカウントに紐づくヒトと同一である割合を約0.96と推定する（点推定値）。

　ここで、β₁＝（2＋3）／（2＋10＋3＋9）＝5／24である。γ₁＝（2＋10＋3＋9）／（80＋50）＝24／130である。Ｎ₂＝80＋50＋1000＝1130である。

　また、他の例として、確率算出部１１６は、通常認証に失敗した場合も含めた本人である確率（Ｐ_t）を、式（９）を用いて算出する。
　確率算出部１１６は、例として、図１１で示す統計情報３１０を参照することにより、本人である確率（Ｐ_t）を、式（９）を用いて計算すると、以下のスコアとなる。
　すなわち、通常認証に失敗したユーザも含めた、アカウントにアクセスしてきた全てのユーザのうち、アカウントに紐づくヒトと同一である割合については、約0.82（＝1?24／130）と推定する(点推定値)。

　そして、確率算出部１１６は、算出したアカウントにアクセスしてきたユーザの本人性の確率（本人の割合の推定（点推定））を、認証装置２０に送信する。

　さらに、本人性認証システム１は、本人の割合を推定（点推定）した処理の後に、区間推定を行う処理およびサンプリング制御を行う（ステップＳ３０）。ステップＳ３０の詳細フローについては、図１５により後記する。

　認証装置２０の通常認証選択部２１３は、本人性スコア算出装置１０から、ユーザの本人性の確率の推定値を、所定期間ごとに取得する。そして、通常認証選択部２１３は、取得したユーザの本人性の確率の推定値に応じて、複数種類の通常認証手法から最適な通常認証手法を選択する（ステップＳ２１）。

　例えば、通常認証選択部２１３は、ユーザの本人性の確率の推定値が、所定の閾値以上である場合には、ユーザの利便性を考慮した標準的な通常認証手法（例えば、通常認証手法「ｎ」）を選択する。一方、通常認証選択部２１３は、ユーザの本人性の確率の推定値が、所定の閾値よりも低い場合には、ユーザの利便性を犠牲にして、比較的強度の高い通常認証手法（例えば、通常認証手法「１」）を選択する。
　通常認証選択部２１３は、選択した通常認証手法の情報を、認証処理部２１２に通知することにより、通常認証手法の設定を行う（ステップＳ２２）。

　なお、通常認証選択部２１３は、「通常認証に成功したユーザの本人性の確率」（式（５））により算出された推定値を用いる場合には、通常認証に成功したユーザの中に非本人が含まれる割合から脅威を評価して通常認証を選択する。一方、「通常認証に失敗したユーザも含めた場合の本人性の確率」（式（９））により算出された推定値を用いる場合において、通常認証に失敗したユーザの中に本人が含まれる割合が多いときには、ユーザの利便性の観点から、上記脅威を考慮しつつ、強度が比較的高い通常認証手法から標準的な強度の通常認証手法に変更する。

　このようにすることにより、本実施形態に係る本人性認証システム１によれば、所定期間にアクセスしてきたユーザ全体における本人性の推定値に基づいて、最適な認証手法を選択することができる。

［区間推定およびサンプリング制御］
　図１５は、区間推定およびサンプリング制御処理の流れを示すシーケンス図である。
　本フローは、本人の割合の推定（点推定）した処理（図１４のステップＳ２０）の後に、スタートする。
　ステップＳ３１で確率算出部１１６は、ユーザの本人性の割合を点推定した結果を用いて、運用開始時にあらかじめ設定した信頼区間で、区間推定を行う。なお、このステップＳ３１は、上記［技術思想４：本人推定値の確からしさを評価する区間推定］の具体例である。区間推定を実行することで、推定値の確からしさを評価することができ、本人が超強力認証に失敗（False Negative）することによる影響を考慮することができる。

　以下、ステップＳ３２～ステップＳ３５は、上記［技術思想５：高度認証を行うユーザをサンプリングする処理］の具体例である。
　ステップＳ３２でサンプリング制御部１１７は、点推定値が基準値以下か否かを判別する。点推定値が基準値より大きい場合（Ｓ３２：Ｎｏ）、本フローの処理を終了する。

　点推定値が基準値以下の場合（Ｓ３２：Ｙｅｓ）、ステップＳ３３でサンプリング制御部１１７は、前回の点推定値と比較する。

　ステップＳ３４でサンプリング制御部１１７は、前回との差分が基準値以上か否かを判別する（図７のステップＳ１参照）。前回との差分が基準値より小さい場合（Ｓ３４：Ｎｏ）、本フローの処理を終了する。

　前回との差分が基準値以上の場合（Ｓ３４：Ｙｅｓ）、ステップＳ３５でサンプリング制御部１１７は、サンプリングの割合と抽出期間を変更して本フローの処理を終了する。サンプリングの割合と抽出期間の詳細については、図１７～図１９により後記する。

　このように、ステップＳ３２～ステップＳ３５では、推定値を用いて標本（高度認証を行うユーザ）の割合と抽出期間を制御して、運用時の本人の割合の変化に追従させる。

［ユーザの本人性の割合推定の適用例］
　ユーザの本人性の割合推定の適用例について説明する。
　図１６は、本実施形態に係る統計情報ＤＢ３００（図８）に格納される統計情報３１０のデータ構成例を示す図である。
　本人性スコア算出装置１０（図８）は、統計情報３１０（図１６）を用いて、アカウントにアクセスしてきたユーザのうち、アクセスしてきたアカウントに紐づくヒトと同一である割合（ｐとおく）を用いて、この割合の信頼区間を推定する。
　例えば、アカウントにアクセスしてきたユーザが通常認証に成功した場合において、信頼区間を約0.95（Ｔ≒1.96）とすると、点推定値が、前述したように約0.96であるため、下記となる。なお、Ｔは、標準正規分布での信頼区間（１?α）における確率変数の上限値である。

　各辺を計算して、
　　　　0.923≦ｐ≦0.997
　と推定する(補正項を省略した式（１２）を用いる)。

　また、通常認証に失敗したユーザも含めた場合（高度認証を行った全ユーザの場合）において、信頼区間を約0.95（Ｔ≒1.96）とすると、点推定値が約0.82であるため、下記となる。

　各辺を計算して、
　　　　0.753≦ｐ≦0.887
　と推定する(補正項を省略した式（１２）を用いる)。

［高度認証を行うユーザのサンプリングの制御の適用例］
　高度認証を行うユーザのサンプリングの制御の適用例について説明する。
　図１７は、本実施形態に係るサンプリング情報ＤＢ４００（図８）に格納されるサンプリング履歴情報４１０のデータ構成例を示す図である。図１８は、本実施形態に係るサンプリング情報ＤＢ４００に格納される点推定値の差分ごとの抽出割合と抽出期間の一覧情報４２０のデータ構成例を示す図である。図１９は、本実施形態に係るサンプリング情報ＤＢ４００に格納される閾値情報４３０を示す図である。

 <手順１>
　本人性スコア算出装置１０（図８）は、一定期間にアクセスしてきた全ユーザにおける本人性の割合の点推定値が、あらかじめ設定していた基準値（図１９の閾値情報４３０から0.65）以下の場合、前回の点推定値と比較して、その差分を算出する。

 <手順２>
　本人性スコア算出装置１０は、算出した差分に対応する、高度認証を行うユーザを抽出する割合と抽出期間を、あらかじめ設定していた（図１８の点推定値の差分ごとの抽出割合と抽出期間の一覧情報４２０）から取得して、次回の抽出割合、抽出期間とする。なお、図１８のデフォルトは、本人性の割合の点推定値の下限値（図１９の閾値情報４３０参照）を下回らない場合に適用する。

 <手順３>
　本人性スコア算出装置１０は、次回、本人性の割合を点推定するアクセス期間、抽出割合、および抽出期間をサンプリング情報ＤＢ４００（図８）の（図１７のサンプリング履歴情報４１０）に保管する。また、本人性スコア算出装置１０は、次回のアクセス期間の後に、確率算出部１１６（図８）が算出した、該当するアクセス期間における、本人性の割合の点推定値をサンプリング情報ＤＢ４００の（図１７のサンプリング履歴情報４１０）に保管する。

　なお、ユーザのアクセス量に応じて、（図１８の点推定値の差分ごとの抽出割合と抽出期間の一覧情報４２０）の抽出割合と抽出期間の値を動的に変えてもよい。例えば、深夜などのアクセス量が少ない場合には、デフォルトの抽出期間を長くしたり、点推定値の差分が0.3以上では抽出割合をより大きくするなどである。

＜ハードウェア構成＞
　本実施形態に係る本人性スコア算出装置１０および認証装置２０は、例えば図２０に示すような構成のコンピュータ９００によって実現される。
　図２０は、本実施形態に係る本人性スコア算出装置１０および認証装置２０の機能を実現するコンピュータ９００の一例を示すハードウェア構成図である。コンピュータ９００は、ＣＰＵ（Central Processing Unit）９０１、ＲＯＭ（Read Only Memory）９０２、ＲＡＭ９０３、ＨＤＤ（Hard Disk Drive）９０４、入出力Ｉ／Ｆ（Interface）９０５、通信Ｉ／Ｆ９０６およびメディアＩ／Ｆ９０７を有する。

　ＣＰＵ９０１は、ＲＯＭ９０２またはＨＤＤ９０４に記憶されたプログラムに基づき作動し、制御部による制御を行う。ＲＯＭ９０２は、コンピュータ９００の起動時にＣＰＵ９０１により実行されるブートプログラムや、コンピュータ９００のハードウェアに係るプログラム等を記憶する。

　ＣＰＵ９０１は、入出力Ｉ／Ｆ９０５を介して、マウスやキーボード等の入力装置９１０、および、ディスプレイやプリンタ等の出力装置９１１を制御する。ＣＰＵ９０１は、入出力Ｉ／Ｆ９０５を介して、入力装置９１０からデータを取得するともに、生成したデータを出力装置９１１へ出力する。なお、プロセッサとしてＣＰＵ９０１とともに、ＧＰＵ（Graphics Processing Unit）等を用いても良い。

　ＨＤＤ９０４は、ＣＰＵ９０１により実行されるプログラムおよび当該プログラムによって使用されるデータ等を記憶する。通信Ｉ／Ｆ９０６は、通信網（例えば、ＮＷ（Network）９２０）を介して他の装置からデータを受信してＣＰＵ９０１へ出力し、また、ＣＰＵ９０１が生成したデータを、通信網を介して他の装置へ送信する。

　メディアＩ／Ｆ９０７は、記録媒体９１２に格納されたプログラムまたはデータを読み取り、ＲＡＭ９０３を介してＣＰＵ９０１へ出力する。ＣＰＵ９０１は、目的の処理に係るプログラムを、メディアＩ／Ｆ９０７を介して記録媒体９１２からＲＡＭ９０３上にロードし、ロードしたプログラムを実行する。記録媒体９１２は、ＤＶＤ（Digital Versatile Disc）、ＰＤ（Phase change rewritable Disk）等の光学記録媒体、ＭＯ（Magneto Optical disk）等の光磁気記録媒体、磁気記録媒体、半導体メモリ等である。

　例えば、コンピュータ９００が本発明の本人性スコア算出装置１０および認証装置２０として機能する場合、コンピュータ９００のＣＰＵ９０１は、ＲＡＭ９０３上にロードされたプログラムを実行することにより、本人性スコア算出装置１０および認証装置２０の機能を実現する。また、ＨＤＤ９０４には、ＲＡＭ９０３内のデータが記憶される。ＣＰＵ９０１は、目的の処理に係るプログラムを記録媒体９１２から読み取って実行する。この他、ＣＰＵ９０１は、他の装置から通信網（ＮＷ９２０）を介して目的の処理に係るプログラムを読み込んでもよい。

＜効果＞
　以下、本発明に係る本人性スコア算出装置１０等の効果について説明する。
　本発明に係る本人性スコア算出装置１０は、ユーザ認証を行う認証装置２０に接続され、ユーザの本人性を示すスコアを算出する本人性スコア算出装置１０であって、認証装置２０が、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、本人性スコア算出装置１０が、ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報２２１と、ユーザの行動履歴情報２２２とを示す振る舞い情報２２０を収集する振る舞い情報収集部１１２と、認証装置２０から、通常認証および高度認証の成功または失敗を示す認証結果情報１１０を収集する認証結果収集部１１１と、所定期間内にアカウントにアクセスしてきたユーザに対して、通常認証に加えて高度認証を実行するか否かを判定し、高度認証を実行すると判定したユーザに関し、複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する高度認証手段を、振る舞い情報２２０を参照して決定し、高度認証を実行すると判定したユーザについて決定した高度認証手段を、認証装置２０に通知する高度認証制御部１１４と、認証結果情報１１０から得られる、通常認証の成功および失敗のユーザ数、高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきた高度認証未実施を含む全ユーザにおけるユーザ本人の割合を点推定して点推定値を算出し、当該点推定値をもとに、あらかじめ設定した、ユーザ本人の割合の値が取りうる範囲である信頼区間で、区間推定を行う確率算出部１１６と、を備えることを特徴とする。

　このようにすることにより、本人性スコア算出装置１０は、一定期間にアクセスしてきたユーザの本人性の割合を区間推定して、推定値の確からしさを定量的に可視化することができる。例えば、ユーザが電子商取引や会員制のＷｅｂサービス（ネットスーパー、就職支援サイト等）や社内のオンラインシステム等を利用するにあたり、Ｗｅｂサービスやオンラインシステムのアカウントにアクセスするユーザが正規のユーザであるかを定量的に推定することができる。

　すなわち、本人性スコア算出装置１０は、本人の割合の点推定と連携して区間推定を行うことで、推定値の確からしさを評価することができる。これにより、本人が高度認証に失敗（False Negative）することによる影響を考慮することができる。その結果、ネットワークの運用に求められる精度で、ユーザの本人性の割合の値が取りうる範囲（信頼区間）を推定することで、ネットワークへの不正アクセスの推定量の上限値や下限値にもとづいたセキュリティ対策を行うことが可能になる。

　また、高度認証に失敗する本人の数が、ユーザの本人性の割合の推定値に与える影響を抑止することができる。その結果、本人が高度認証に失敗するケースを考慮した場合でも、高度認証に成功したユーザ数のみをカウントして、信頼区間の幅の誤差を安全側（幅を広く推定）、かつほぼ０に近似することが可能になる。

　なお、本人性の割合を点推定する前段の処理について効果を述べる。
　本人性スコア算出装置１０は、アカウントにアクセスしてくるユーザ全体における本人性を、装置の独自基準や製品ごとに異なるノウハウによらずに、観測可能な情報を用いて、客観的な数値としての確率で算出することができる。
　つまり、非本人によるアカウントへのアクセスの割合を評価することができるため、不正アクセスの増加等が発生した際において、本人性をスコア化する他の製品や装置に関する独自の高度なノウハウ等が不要となる。また、アカウントに紐づくヒトに関する観測可能な情報（通常認証および高度認証の認証結果）を用いて、ユーザの本人性を確率として数値化するため、過去のサービス運用実績などの保守者の高度な知識や知見を不要とすることができる。

　本人性スコア算出装置１０において、確率算出部１１６は、本人の割合ｐの下記区間推定式の式（１２）に従って区間推定を行うことを特徴とする。

　このようにすることにより、本人性スコア算出装置１０は、本人の割合を区間推定することで、運用環境で求められる推定値の信頼区間（例えば95%）のもとで、本人の割合の変化量に従って、標本（高度認証を行うユーザ）の割合と抽出期間を制御することが可能になる。

　本人性スコア算出装置１０において、確率算出部１１６は、信頼区間の中心の値に誤差を補正する中心値補正項を設け、中心値補正項を用いて信頼区間で、区間推定を行うことを特徴とする。

　このようにすることにより、本人性スコア算出装置１０は、信頼区間の中心の値に誤差を補正する中心値補正項を設けることで、信頼区間の中心の値に誤差が発生したとしても、信頼区間の幅の誤差をＮＷセキュリティ上安全側に評価することができる。

　本人性スコア算出装置１０において、確率算出部１１６は、信頼区間の幅の値に誤差を補正する幅値補正項を設け、幅値補正項を用いて信頼区間で、区間推定を行うことを特徴とする。

　このようにすることにより、本人性スコア算出装置１０は、信頼区間の幅の値に誤差を補正する幅値補正項を設けることで、信頼区間の幅の値に誤差が発生したとしても、信頼区間の幅の誤差をＮＷセキュリティ上安全側に評価することができる。

　本人性スコア算出装置１０において、確率算出部１１６が算出した点推定値を用いて、高度認証を行うユーザを抽出する割合、および／または、高度認証を行うユーザをサンプリングする抽出期間を制御するサンプリング制御部１１７を備えることを特徴とする。

　このようにすることにより、本人性スコア算出装置１０は、点推定値を用いて標本（高度認証を行うユーザ）の割合と抽出期間を制御して、運用時の本人の割合の変化に追従させることができる。すなわち、一定期間にアクセスしてくるユーザの本人性の割合が変化する環境において、高度認証を行うユーザを抽出する割合と抽出期間を制御することで、ユーザの本人性の割合の変化に追従して、本人性の割合を推定することが可能となる。その結果、ネットワークへの不正アクセスの量の変化に応じたセキュリティ対策をより精度良く行うことができる。

　本発明に係る本人性認証システムは、ユーザの本人性を示すスコアを算出する本人性スコア算出装置１０と、ユーザ認証を行う認証装置２０とを備える本人性認証システム１であって、認証装置２０が、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、本人性スコア算出装置１０が、ユーザがユーザ端末３によりアカウントにアクセスしたサービス利用環境を示すアクセス情報２２１と、ユーザの行動履歴情報２２２とを示す振る舞い情報２２０を収集する振る舞い情報収集部１１２と、認証装置２０から、通常認証および高度認証の成功または失敗を示す認証結果情報１１０を収集する認証結果収集部１１１と、所定期間内にアカウントにアクセスしてきたユーザに対して、通常認証に加えて高度認証を実行するか否かを判定し、高度認証を実行すると判定したユーザに関し、複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する高度認証手段を、振る舞い情報２２０を参照して決定し、高度認証を実行すると判定したユーザについて決定した高度認証手段を、認証装置２０に通知する高度認証制御部１１４と、認証結果情報１１０から得られる、通常認証の成功および失敗のユーザ数、高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきた高度認証未実施を含む全ユーザにおけるユーザ本人の割合を点推定して点推定値を算出し、当該点推定値をもとに、あらかじめ設定した、ユーザ本人の割合の値が取りうる範囲である信頼区間で、区間推定を行う確率算出部１１６と、を備え、認証装置２０が、アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、本人性スコア算出装置１０から通知された高度認証手段により、高度認証を実行すると判定したユーザに対し高度認証を実行し、通常認証および高度認証の認証結果情報を本人性スコア算出装置１０に送信する認証処理部２１２を備えることを特徴とする。

　このようにすることで、本人性認証システム１は、一定期間にアクセスしてきたユーザの本人性の割合を区間推定して、推定値の確からしさを定量的に可視化することができる。このため、ネットワークの運用に求められる精度で、ユーザの本人性の割合の値が取りうる範囲（信頼区間）を推定することで、ネットワークへの不正アクセスの推定量の上限値や下限値にもとづいたセキュリティ対策を行うことが可能になる。

　また、高度認証に失敗する本人の数が、ユーザの本人性の割合の推定値に与える影響を抑止することができる。その結果、本人が高度認証に失敗するケースを考慮した場合でも、高度認証に成功したユーザ数のみをカウントして、信頼区間の幅の誤差を安全側（幅を広く推定）、かつほぼ０に近似することが可能になる。

［本人性スコア算出装置１０の適用例における効果］
　本人性スコア算出装置１０において、確率算出部１１６は、中心値補正項を用いない場合、ユーザの振る舞いにもとづいて所定の高度認証を選択して区間推定を行うものでもよい。

　本人性スコア算出装置１０は、認証失敗した本人の割合の観測が困難（認証失敗したユーザには非本人が含まれる）な場合、信頼区間の中心の値の補正項については算出困難である。このような場合、中心値補正項は省略し、ユーザの振る舞いにもとづいて最適な高度認証を選択して、認証失敗する確率を抑止することができる。ここで、中心値補正項がない場合、信頼区間の中心の値に誤差を発生させるものの、値を小さく見積もることになることから、本人の割合をＮＷセキュリティ上安全側に評価することになる。また、認証失敗した本人の割合が小さいほど、補正項の値は小さくなる。これらの点からも中心値補正項の省略は可能である。

　本人性スコア算出装置１０において、確率算出部１１６は、信頼区間の幅の値の補正項を用いない場合、ユーザの振る舞いにもとづいて所定の高度認証を選択して区間推定を行うものでもよい。

　本人性スコア算出装置１０は、認証失敗した本人の割合の観測が困難（認証失敗したユーザには非本人が含まれる）な場合、信頼区間の中心の値の補正項については算出困難である。このような場合、中心値補正項は省略し、ユーザの振る舞いにもとづいて最適な高度認証を選択して、認証失敗する確率を抑止することができる。ここで、幅値補正項がない場合、信頼区間の幅の値に誤差を発生させるものの、値を大きく見積もる（幅を広げる）ことになることから、ＮＷセキュリティ上安全側に評価することになる。認証失敗した本人の割合が大きいほど、補正項の値は小さくなるが、ネットワークの実運用上の範囲では、最大で約-0.1%～-1%程度と想定できる。これらの点からも幅値補正項の省略は可能である。

　本人性スコア算出装置１０において、サンプリング制御部１１７は、点推定値が所定基準値以下である場合に、本人の割合の変化量が所定基準に従うように区間推定値を設定し、区間推定値をもとに高度認証を行うユーザを抽出する割合、および／または、高度認証を行うユーザをサンプリングする期間を制御するものでもよい。

　このようにすることにより、本人性スコア算出装置１０は、本人の割合の変化量が所定基準に従うように区間推定値を設定することで、ユーザの利便性を考慮した上で、運用時の本人の割合の変化に追従させることができる。

　なお、本発明は、以上説明した実施形態に限定されるものではなく、多くの変形が本発明の技術的思想内で当分野において通常の知識を有する者により可能である。

　１　　　本人性認証システム
　３　　　ユーザ端末
　１０　　本人性スコア算出装置
　２０　　認証装置
　４０　　外部サーバ
　５１　　Ｗｅｂサーバ
　５２　　社内システム
　５３　　クラウドサービス
　１１，２１　制御部
　１２，２２　入出力部
　１３，２３　記憶部
　１００　認証結果ＤＢ
　１１０　認証結果情報
　１１１　認証結果収集部
　１１２　振る舞い情報収集部
　１１３　外部サーバ連携部
　１１４　高度認証制御部
　１１５　統計処理部
　１１６　確率算出部
　１１７　サンプリング制御部
　２００　振る舞い情報ＤＢ
　２１１　アクセス情報取得部
　２１２　認証処理部
　２１３　通常認証選択部
　２１４　認証制御部
　２１５　一元情報管理部
　２２０　振る舞い情報
　２２１　アクセス情報
　２２２　行動履歴情報
　３００　統計情報ＤＢ
　３１０　統計情報
　４００　サンプリング情報ＤＢ
　４１０　サンプリング履歴情報
　４２０　点推定値の差分ごとの抽出割合と抽出期間の一覧情報
　４３０　閾値情報
　５００　ユーザ情報ＤＢ

Claims (8)

1. 　ユーザ認証を行う認証装置に接続され、ユーザの本人性を示すスコアを算出する本人性スコア算出装置であって、
   　前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
   　前記本人性スコア算出装置は、
   　ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集する振る舞い情報収集部と、
   　前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集する認証結果収集部と、
   　所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知する高度認証制御部と、
   　前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきた高度認証未実施を含む全ユーザにおけるユーザ本人の割合を点推定して点推定値を算出し、当該点推定値をもとに、あらかじめ設定した、ユーザ本人の割合の値が取りうる範囲である信頼区間で、区間推定を行う確率算出部と、
   　を備えることを特徴とする本人性スコア算出装置。
2. 　前記確率算出部は、
   　本人の割合ｐの下記区間推定式に従って区間推定を行う
   

   

   　ことを特徴とする請求項１に記載の本人性スコア算出装置。
3. 　前記確率算出部は、前記信頼区間の中心の値に誤差を補正する中心値補正項を設け、中心値補正項を用いて信頼区間で、区間推定を行う
   　ことを特徴とする請求項１に記載の本人性スコア算出装置。
4. 　前記確率算出部は、前記信頼区間の幅の値に誤差を補正する幅値補正項を設け、幅値補正項を用いて信頼区間で、区間推定を行う
   　ことを特徴とする請求項１に記載の本人性スコア算出装置。
5. 　前記確率算出部が算出した前記点推定値を用いて、高度認証を行うユーザを抽出する割合、および／または、高度認証を行うユーザをサンプリングする抽出期間を制御するサンプリング制御部を備える
   　ことを特徴とする請求項１に記載の本人性スコア算出装置。
6. 　ユーザの本人性を示すスコアを算出する本人性スコア算出装置と、ユーザ認証を行う認証装置とを備える本人性認証システムであって、
   　前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
   　前記本人性スコア算出装置は、
   　ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集する振る舞い情報収集部と、
   　前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集する認証結果収集部と、
   　所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知する高度認証制御部と、
   　前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきた高度認証未実施を含む全ユーザにおけるユーザ本人の割合を点推定して点推定値を算出し、当該点推定値をもとに、あらかじめ設定した、ユーザ本人の割合の値が取りうる範囲である信頼区間で、区間推定を行う確率算出部と、を備え、
   　前記認証装置は、
   　前記アカウントにアクセスしてきたユーザに対して、所定の通常認証手段による通常認証を実行するとともに、前記本人性スコア算出装置から通知された高度認証手段により、前記高度認証を実行すると判定したユーザに対し高度認証を実行し、前記通常認証および前記高度認証の前記認証結果情報を前記本人性スコア算出装置に送信する認証処理部を備えること
   　を特徴とする本人性認証システム。
7. 　ユーザ認証を行う認証装置に接続され、ユーザの本人性を示すスコアを算出する本人性スコア算出装置の本人性認証方法であって、
   　前記認証装置は、標準的な認証強度の認証を行う通常認証について複数種類の通常認証手段を有するとともに、ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止し、ユーザ本人でない非本人であれば認証成功することを第２の所定レベル以下に抑止する認証強度の認証を行う高度認証について複数種類の高度認証手段を有しており、
   　前記本人性スコア算出装置は、
   　ユーザがユーザ端末によりアカウントにアクセスしたサービス利用環境を示すアクセス情報と、前記ユーザの行動履歴情報とを示す振る舞い情報を収集するステップと、
   　前記認証装置から、前記通常認証および前記高度認証の成功または失敗を示す認証結果情報を収集するステップと、
   　所定期間内にアカウントにアクセスしてきたユーザに対して、前記通常認証に加えて前記高度認証を実行するか否かを判定し、前記高度認証を実行すると判定したユーザに関し、前記複数種類の高度認証手段のうち、当該ユーザ本人であれば認証失敗することを第１の所定レベル以下に抑止する前記高度認証手段を、前記振る舞い情報を参照して決定し、前記高度認証を実行すると判定したユーザについて決定した高度認証手段を、前記認証装置に通知するステップと、
   　前記認証結果情報から得られる、前記通常認証の成功および失敗のユーザ数、前記高度認証の成功および失敗のユーザ数を用いた統計値に基づき、アカウントにアクセスしてきた高度認証未実施を含む全ユーザにおけるユーザ本人の割合を点推定して点推定値を算出するステップと、
   　前記点推定値をもとに、あらかじめ設定した、ユーザ本人の割合の値が取りうる範囲である信頼区間で、区間推定を行うステップと、を実行する
   　ことを特徴とする本人性認証方法。
8. 　コンピュータを、請求項１に記載の本人性スコア算出装置として機能させるためのプログラム。

Images