(2021年にProveが買収。2023年6月追記)
情報セキュリティ向上の鍵はユーザー行動にある
―UnifyID設立の経緯をお話しください。
現在の認証方法は、パスワード認証が一般的ですが、ユーザーにとっては最適な方法とは言えません。現行の認証方法は、理論的にセキュリティが高い方法であり、実際使う人間にとって使いやすいか、と言ったユーザーエクスペリエンス(UX)は考慮されていません。また、企業が情報セキュリティを高めることを目的に策定するポリシーは往々にして、従業員にとっては不便極まりないものです。
UnifyID設立のきっかけは、前職でクライアントとサーバー間のパケットトレースをキャプチャするデモを行っていた時の出来事でした。トラフィックは暗号化されていましたが、ネットワークパケット間のタイミングを見ているだけで、ユーザーのキーストロークのタイミングを判断できます。キーボード上で指が移動するタイミングはキーによって異なるため、キーストロークのタイミングがわかると、ユーザーが入力している内容を予測することができることに気づいたのです。
そして、タイピングにも一人ひとり癖があり、3センテンス程度のタイピングで、誰がタイピングしているか特定することができることもわかりました。この発見をきっかけに、ユーザーの手間がなく受動的な情報に基づいた認証の可能性を本格的に検討し始めたのです。
様々な検討を重ね、歩き方を分析することで、指紋と同じくらい正確に個人を特定できる技術を開発し、偽陽性率は5万分の1、99.999%の確率で個人を特定できる認証プラットフォームを構築しました。
―UnifyIDの認証方法について詳しくお話ください。
私たちは長い間、テクノロジーの限界に適応してきましたが、今はテクノロジーが人間に適応し、自然な形で相互作用します。認証においても、機械学習やAIを使い、自分のペースで活動するだけで自動的に認証できるため、ハードウェアトークンを持ち歩くことも、長く複雑なパスワードを覚えることも不要です。
個人を特定するために必要な動作情報の収集にはスマートフォンが最も適しています。例えば、スマートフォンが衣服のポケットに入っている状態でいつも通り行動するだけで、スマートフォン内部にあるジャイロセンサーなどを使い、持ち主の特定に必要な情報を取得します。更に、BluetoothやWi-Fi、基地局またはGPSによる位置情報も取得し、機械学習とAIを使って一人ひとりの癖を見つけ、それを基に身元認証を自動的に行えるようになります。
例えば、誰かがあなたの携帯電話を盗んだとしても、動き方が違うため、すぐに盗まれたことを認識することができます。
ただし、当社のプラットフォームが取得する情報には、名前などの個人情報は一切含まれません。このスマートフォンを今持っている人物の動作や位置情報などが、それ以前の情報と一致するかを確かめるだけです。
人間も動物も、少ない情報を基に個々を識別することができます。例えば、足音で誰なのか判別が可能です。当社の認証プラットフォームでは、これを機械学習で行っています。
Webだけでなくリアルでも、幅広く活用が可能
―どういった活用が考えられるか教えてください。
スマートフォンを所持している人物が所有者本人だと端末が認証できれば、スマートフォンを持っているだけで車や自宅のドアの鍵を開けることができるようになります。
FinTechなど、なりすまし詐欺を防ぎたい業界でも有効です。消費者向けだけでなく、企業が外回りの従業員の管理などに使うことも考えられます。
テキストメッセージで6桁の数字コードを受け取る認証方法では、受け取った数字を入力する手間がありますが、自動で認証できればこうした煩わしさが解消されますので、様々な使い方が考えられます。例えば、オンラインショップでは煩わしさは消費者の購買意欲を下げますので、煩わしさの解消は販売促進に繋がるでしょう。
他には、実店舗での活用も考えられます。例えば、入店した時点で個人を特定し、棚から商品をもって店を出ると、自動でオンライン決済されるような仕組みです。
―どのような企業が御社のプラットフォームを使っていますか。日本でも導入実績がありますか?
UnifyIDは、顧客のアプリにリンクする仕様なので、顧客は自社アプリを持っている必要があります。現在の顧客は、モバイルファーストなアーリーアドプタータイプの企業が多いです。
米国と一部ヨーロッパで導入実績がありますが、日本での導入実績はまだありません。日本やアジアへの進出も興味はありますが、まだ先の話ですね。
