NEWS
ニュース
よくある認証の勘違いとは?―ANZ通信特別版:「認証に関する通信」アーカイブ
2025年8月29日:公開
弊社の代表徳山による、昨今の証券口座の乗っ取り被害に関する対策として、いかに認証に関する勘違いが多いのか?
また、巷に流れる認証のデマなどについて、認証について、根本的な対策が元めらる時代になったことを、
「認証に関する通信」と題し記事で定期的に配信させていただく企画を立てました。
フィッシング等の問題を発端に、「本当にその認証やセキュリティで大丈夫なの?」ということへの
課題解決に関するヒントになればと思いますので、以下是非ともご一読ください。
案内の配信+全5回配信予定で、最新号配信の際に更新いたします。
認証に関する通信
(株式会社AnchorZ 代表取締役 徳山 真旭)
目次
テーマ(0)導入:「認証の『常識』が変わる時が来ました」
テーマ(1)「認証の歴史:進化と停滞の60年を振り返る」
テーマ(2)「オールドテクノロジーからニューテクノロジーへ」
テーマ(3)「人間中心の認証」
テーマ(0)導入:「認証の『常識』が変わる時が来ました」
最近、認証やセキュリティに関する問い合わせが増えてきております。そこで多くの企業様に弊社の認証技術を説明する機会が増えてきておりますが、もっと本質的な認証に関する理解が必要であると感じ、本記事を配信させていただくことにいたしました。合計で残り5回の配信させていただく予定となっておりますので、どうぞよろしくお願いいたします。
パスワードに始まり、パスキーやFIDO2といった「新しい」とされる認証手法も、実は本質的に大きな変化はありません。1960年代から続く「他人(サービス提供者)から与えられた情報でログインする」という前提に基づいている限り、認証の本質的な課題は解決されません。
たとえば、FIDO2やパスキーが導入されても、スマホのローカル認証(顔認証・指紋認証など)が突破された瞬間、それらは一切の意味を失います。とりわけディープフェイク技術が進化する現代では、「ローカル認証=安全」とは言えなくなってきました。しかも一度ローカル認証が破られれば、自動ログインされたすべてのサービスに不正アクセスされるリスクが一気に現実化します。利便性の代償として、リスクが「連鎖」するのです。
ここで、弊社の「バックグラウンド認証®」の意義が際立ちます。
バックグラウンド認証®は、ユーザーが意識せずとも常時AIによって認証が行われ続ける「無意識の継続認証」というまったく新しいアプローチです。一度の認証で終わりではなく、日常の使い方や環境、行動を複合的に分析し、継続的に本人かどうかを判断します。仮に一時的に偽装されても、AIは「本人らしさ」のズレを即座に検知し、必要に応じてバックグラウンドで補助的にカメラを起動して認証を強化します。
つまり、「一度の認証ですべてを任せる」のではなく、「本人らしさの継続」によって認証の強度を保つ。これこそが、ディープフェイク時代における**真のセキュリティ**であり、同時にユーザー体験を妨げない優しさでもあります。
技術の歴史には、ある日突然「常識が覆る瞬間」があります。
私たちが今まさに目の当たりにしているのは、その瞬間です。
バックグラウンド認証®が、「認証」という概念そのものを変える時が来ました。以後、5回に渡って認証に関する記事を配信させていただきます。ご期待ください。
テーマ(1)「認証の歴史:進化と停滞の60年を振り返る」
1)認証の始まり:なぜ「本人確認」が必要になったのか?
人類の歴史において、「誰が誰なのかを確認する」ことは、原始的な社会から存在していました。
村の集会では顔と名前で、商取引では印章や署名で行われてきました。
これが“技術的な認証”として明確に現れたのは コンピューター時代の幕開けである1960年代から始まりました。
当時、米国の研究機関や軍などでコンピューターを複数人が共有する必要が出てきました。
「誰が、いつ、どのデータにアクセスしたのか?」それを識別・管理するために生まれたのが、
ユーザー名とパスワードという仕組みです。これが、「認証(Authentication)」という概念の始まりとなります。
—
2)1970~1990年代:パスワードの時代
そうして、パスワードは最もシンプルかつ普遍的な認証手法として普及しました。
IDとパスワードがあれば、ログインできる。この考え方は、企業のコンピューターから一般家庭のインターネットまで、
世界中に広がります。しかしこの仕組みには致命的な弱点がありましたが、他の代替え方法がなかったことと悪意ある利用者のことを考える前に
インターネットやそれを利用するための機械、すなわちPCの普及の方が重要視されたと言えるのではないでしょうか。
致命的な弱点として以下を挙げさせていただきます。
・人は複雑なパスワードを覚えられない
・だから使い回す
・盗まれれば、全サービスに侵入される
・パスワードリスト攻撃、フィッシング、情報漏洩が多発
—
3)2000年代:2段階認証とトークンの登場
情報漏洩が社会問題化しはじめた2000年代、「パスワードだけでは不十分」という意識が高まります。
そこで以下のような新しい試みが様々に採用されるようになってきました。
・ワンタイムパスワード(OTP)
・メールやSMSを使った認証コード
・ハードウェアトークン(RSAキーなど)
これらは多要素認証(MFA)の先駆けとして広まりましたが、セキュリティが強化される一方で、
使い勝手が悪く、導入が遅れがちという問題も出てきました。
—
4)2010年代:生体認証とFIDOの台頭
Apple社のスティーブ・ジョブス氏によってスマートフォンが一挙に普及し、
それとともに、生体認証(指紋・顔・虹彩など)が一挙に一般の利用者にも身近なものになりました。
・AppleのTouch IDやFace ID
・Androidの指紋認証
・ウェブ・アプリでの生体ログイン(FIDO)
これにより「誰かに教えられた情報ではなく、自分自身の“身体的な特徴”で認証する」時代が訪れ、
FIDO2やパスキーの登場は、パスワードレス社会を実現する新たな希望として登場しました。
しかしここにも、新たな脆弱性が見え隠れしています。
—
5)2020年代:AIとディープフェイクの時代へ
そして、近年では生成AI(GenAI)やディープフェイク技術の急速な進化により、
本人の顔や声を偽装することは中学生でも容易にできるような時代になってきました。
・偽の顔で突破される顔認証
・偽物の声で突破される電話認証
・偽装された行動で突破される行動認証
嘗ては高度な知識と技術を要するごく一部の悪意ある第三者にしか実現できなかった「なりすまし」は、
スマートフォンに最初から搭載された生体認証(ローカル認証という)だけでは、誰にでも突破できる攻撃手法となってしまいました。
—
6)これから求められるのは「概念の転換」
ここまでの歴史を見れば、認証技術は間違いなく進化してきました。
その過程で多くの企業や研究者が情熱と技術を注ぎ、世の中を支えてきました。これは尊敬されるべき努力と成果です。
しかし、ディープフェイクが当たり前になる時代には、これまでのような「利用前に1回だけ本人確認をする」という概念自体が限界を迎えており、
昨今の証券口座乗っ取り問題に関する「いくら対策を講じても被害が減らない」という事実がこれを顕著に現しています。
これからは、「一時の本人確認」ではなく、「本人らしさの継続確認」が必要なのです。
—
7)バックグラウンド認証(R)の登場:常識を覆す技術(=認証の概念を変える)
この新しい時代の課題に対して、根本から発想を変えたアプローチが登場しています。
それが、私達が開発した「バックグラウンド認証(R)」です。
「認証」という行為をユーザーに意識させず、継続的にAIが本人を見守るという発想となっています。
「一度の認証で完了ではなく、今も、本人かどうか」を確認し続けることが認証の新しい常識となる必要があるのです。
—
8)結論:今こそ、“認証の概念”を変える時
1960年代に始まった「誰が使っているかを証明する」技術は、あらゆる場面で創意工夫とともに進化してきました。
しかしながら、今こそ、認証の概念そのものを変える時です。AI、ディープフェイク、ゼロトラスト、そのすべてが変化する中で、
「認証」だけが過去の常識のままで良いはずがありません。「バックグラウンド認証(R)」は、60年ぶりに認証の概念を塗り替える新しい“常識”です。
テーマ(2)「オールドテクノロジーからニューテクノロジーへ」
前回、「認証の歴史は60年間進化してきたようでいて、実は概念そのものは大きく変わっていない」という内容を投稿したところ、
思いのほか多くの方に読んでいただき、いろいろな反応をいただいた。驚きとともに、静かに火が灯ったような気持ちになっている。
今回もその延長で、もう少し深い話をしたい。前回予告した通り、
FIDOやパスキーといった現在の“パスワードレス認証”の技術について、少し技術的な中身に踏み込んでみたい。
FIDO(Fast Identity Online)という認証の枠組みは、認証における秘密鍵(private key)をユーザーの端末に安全に保管し、
その秘密鍵を外部に出さないことで、なりすましリスクを防ぐという発想から始まった。認証は基本的に公開鍵暗号(Public Key Cryptography)で行われるため、
サービス提供側はユーザーの公開鍵(public key)だけを保持し、サーバー側から送られたチャレンジ(ランダムな文字列)を、
ユーザーの端末が秘密鍵で署名することで本人性を証明する。ここにパスワードのやり取りは発生しない。
実際、FIDO2ではWebAuthnとCTAPという二つの標準を通じて、ブラウザとローカルのセキュリティデバイス(スマホやFIDOセキュリティキー)を連携させている。
そしてPasskey(パスキー)は、そのFIDOの技術をさらにユーザー寄りにしたUX改善版といえる。
AppleやGoogleが主導して、ユーザーがデバイスを乗り換えても、iCloudやGoogleアカウントなどのクラウド上で秘密鍵のバックアップや同期が可能となる仕組みを整備した。
つまり、ユーザーが“鍵束”を意識しなくても、複数のデバイスで「パスワードレスログイン」が可能になる世界だ。
この仕組み自体は非常に優れている。パスワードの漏洩リスクもなければ、フィッシングにも強い。
だがこの技術の根幹は「ローカル認証」に依存している。Face IDやTouch ID、PINなどでローカルの本人確認が成功すれば、その端末に格納された秘密鍵が使われる。
つまり、スマホを誰かに渡し、顔や指紋が通ってしまえば、あらゆる連携済みサービスに自動ログインされてしまうという問題が残る。
また、認証後の第三者の利用が可能であるということも本投稿をご覧いただいている方であればすでにご理解をいただいている通りだ。
一度認証が通ってしまえば、設定画面からセキュリティがかからない設定にするのは小学校の高学年程度の知識でも思いつくやり方である。
生成AIによるディープフェイクも同様で、アプリを使って子供でもすぐにフェイクが可能になった現代。これ以上の説明は不要だろう。
構造は、技術的に正しい。しかし、人間の行動や環境に対して鈍感だ。持ち主がそのスマホを持っていない、
あるいは意図しない操作をしている状況を検知する手段が、FIDOの仕組みの中には基本的に存在しない。
FIDOは「一瞬の本人確認」には強いが、「時間軸と環境にわたる認証」には対応していない。
これは、技術としての限界というよりも、設計思想が当時の社会状況に最適化されていたことの証左でもある。
ここで私たちが提案しているバックグラウンド認証(R)︎のような仕組みが登場する意義がある。
バックグラウンド認証は、認証を単なる“イベント”としてではなく、連続した“状態”として扱う。
ユーザーの端末にある各種センサー情報を活用し、使い方・動き方・環境などを複合的に解析することで、
その時点で端末を使っている人物が「本人らしいかどうか」をリアルタイムで判断する。
さらに、疑わしいときだけバックグラウンドでカメラを起動し、補助的に顔を確認することで、連続的な認証の精度を保ち続ける。
ここには一過性のローカル認証では補えない“認証の継続性”と“判断の柔軟性”がある。
この技術は、FIDOやパスキーと対立するものではなく、むしろ補完する存在だと私は思っている。
FIDOによって実現されたセキュアな公開鍵基盤の上に、バックグラウンド認証が加わることで、
使っている“間”の本人性までも保証することができる。
つまり、”一度の認証”と”継続的な認証”のハイブリッドこそが、次世代の認証のあるべき姿ではないだろうか。
さて、少し話は変わるが、この文脈の中で私がどうしても触れておきたい出来事がある。
つい最近、JPYC株式会社が発行する日本円ステーブルコイン「JPYC」が、金融庁から正式に前払式支払手段として認可されたというニュースを見た。
これは単なる技術やサービスの話ではなく、「日本の規制当局が、企業規模や既存の信頼ブランドに依らず、技術の中身で判断を下した」ことを意味している。
一度しか名刺交換したことのない知人だが、岡部さんをはじめとするJPYCの皆さんの行動には心から敬意を表したい。
これに加えてコメントしたい。
「オールドメディア」という言葉がよく揶揄される時代になった。
だが、本当に問題なのはメディアそのものの古さではない。
かつて隆盛を誇った強者が、気づかぬうちに時代遅れとなり、それに気づかないまま朽ちていってしまう──そうした構造こそが、「オールド」と呼ばれる理由だと思う。
更新されない技術、思考、態度。そうしたものが静かに淘汰されていく。だからこそ、“オールド”という言葉には、ある種の哀愁と警鐘が同時に含まれている。
テクノロジーの世界では10年も経てば、それはもはや“昔”である。
にもかかわらず、認証においては、今も「最初に1回だけ本人確認して、あとは自己責任」というモデルが支配的だ。
利用開始時の認証が済めば、その後の継続的な操作に対するチェックはほとんどない。
それだけでサービスを守ろうとすること自体が、すでに“古い”という評価を免れないのではないか。
認証というものが本質的に問うべきなのは、「あなたは誰か?」を使い始める前に一度だけ行うのではなく、
「サービス利用中に常にあなたが正しく本人認証され守られ続けているのか?」という問いなのだと私は思っている。
次回のテーマはまだ決めていないが、繰り返し述べておきたい。これからの認証において最も重要なのは、
1)利用者に負担をかけないこと。
2)サービスを使っている間ずっと守ること。
3)そして、利用者にもサービス提供側にもコストをかけないこと。
この3つが揃って初めて、真に信頼されるデジタル社会が築けるのではないだろうか。
テーマ(3)「人間中心の認証」
これまでに私は、以下のようなテーマで認証の歴史と本質をめぐる話を綴ってきました。
「認証の常識が変わる時が来ました」
「認証の歴史:進化と停滞の60年を振り返る」
「オールドテクノロジーからニューテクノロジーへ」
いずれも、テクノロジーとしての認証がどこから来て、いまどこに立ち、これからどこへ向かうべきなのかを問い続けたものでした。今回は、その問いをさらに深め、「認証とは、誰のために何のためにあるべきなのか」という根本に立ち返ってみたいと思います。
—
認証とは、誰かが何かを使うときに、「その人が本当にその人であるか」を確かめる行為だ。
言い換えれば、それは「人間を問う技術」である。
だが、その問いかけはあまりに機械的で、時に人間の本質からかけ離れてしまうことがある。
たとえば、認証の多くは「顔」や「指紋」や「パスワード」といった“断片”だけを取り出し、それが合っているかどうかだけを見て判断してきた。
そこに、その人の“らしさ”や“背景”がどうあれ、技術は「YesかNoか」を突きつける。
私たちは長いあいだ、その仕組みに疑問を抱くことなく受け入れてきた。
それは仕方のないことだった。パスワードしかなかった時代、生体情報が使えるようになった時代、すべての局面で「そのときにできる最善の技術」が実装されてきたのだから。
ただ、断片的な認証こそが正しいという思考習慣が、皮肉にも一部の認証の専門家の間に最も深く根づいてしまっているのもまた事実であり、これが、新しい認証を受け入れ難い強固な壁となっている。長年にわたり積み重ねてきた手法への信頼と実績ゆえに、その枠組みから抜け出すことが難しくなっているのである。
だが本質に立ち返れば、「今、どちらのアプローチが未来に必要とされるか」は、もはや明白だ。
時代は変わった。
AIが人間の声や顔を再現し、行動さえ模倣するようになったいま、「断片」の正しさでは、本人性は担保できなくなりつつある。むしろ今、私たちが問うべきは、「この人は、その人らしいふるまいをし続けているか?」という「継続する本人性」なのではないかと思う。
ここで初めて、認証は「技術中心」から「人間中心」へと、その視点を変え、新たな認証の時代へと「進化」するのである。
人間という存在は、瞬間では切り取れない。意識の揺らぎ、手のクセ、歩き方、スマホの持ち方、思考のパターン、使う時間帯。それらすべてが織り交ざって「その人らしさ」を形づくっている。
私たちは、この「らしさ」そのものを、テクノロジーによって捉えることはできないか?と考えた。
その答えのひとつが、「バックグラウンド認証®︎」であることは、何度も触れてきた通りである。
この技術は、認証を“行為”ではなく“状態”としてとらえ、本人であることを「使い続ける間、問い続ける」ことで証明する。
一瞬ではなく、「継続」
静的ではなく、「動的」
そして、「断片」ではなく、「総体」としての「人間」を捉える。
ここには、従来の認証にあった「ユーザーに対する無言の強制」がない。画面の前で構えたり、指を押しつけたり、何かを記憶したりする必要がない。ただ、いつも通りにその人が使っていれば、それでいい。それこそが、「人間中心の認証」の最も大事な思想である。
この思想と技術が、単なる概念の進化を望む筆者の仮説ではなく、数理モデルとして裏付けられていることにも触れておきたい。私たちの認証アルゴリズムは、「バックグラウンド認証®︎」としてIEEE IJCB2023(国際合同生体認証会議)に採録された。
この会議は、IEEE(世界最大の電子・情報工学学会)が主催する、生体認証およびアイデンティティ認証技術の中でも最も権威ある国際会議の一つである。
その役割の一つに、「次の世代の国際標準(Standard)となる認証技術の発掘と評価」というミッションがある。
つまり、ここに採録されるということは、世界の研究者・技術者コミュニティの中で、“未来の当たり前になりうる技術”としての可能性を認められたということでもある。
バックグラウンド認証®︎は、パスワードでも、顔認証でも、FIDOでもない。
まったく新しい原理で構成される、人間中心の持続的で分散型の認証モデルである。その技術が、世界の標準となる可能性を持ち、すでに国際的な注目を集めはじめているということに、ぜひ多くの人に気づいてほしい。
そして、この技術は、単なるUXの改善ではない。障害をもつ人や、高齢者、認知機能に不安を抱える人々にとって、「本人確認を求められること自体がハードルである」ことを、
私たちはもっと理解すべきなのだ。
認証は、本来すべての人の自由と尊厳を守るためのものだったはずだ。その原点に立ち返るとき、私たちが次に作るべき認証技術は、誰かを排除するのではなく、誰もが自然に使えるものでなければならない。
技術の話をしているようでいて、実はこれは社会の話だ。“あなたがあなたであること”を、無理なく守り、誰も取り残さないデジタル社会の実現。フルデジタル社会において、人に優しい本人性の基盤として、これからの認証は、「人間中心」であるべきだと思う。
—
今回で第三回になります。これまでの投稿では、認証の概念を進化させるために「現状の把握」と「考え方のシフト」を中心に抽象的な表現が多かったと思いますが、次回はより具体的に、技術的な説明に陥ることがないように心がけて、バックグラウンド認証®︎という技術がどのようにデジタル社会を変革していくのか。ということに触れたいと思います。どうぞよろしくお願いいたします。
—————————————
次の更新は9月5日(金)です。ぜひご覧ください!!