今回紹介するのは、テクニオン工科大学のスピンオフとして2015年11月に創業したVerifyoo社（ベリファイユーと発音する）である。資本金は51万5千ドル。Verifyooは既存のパスワードやトークンの代わりとして、生体認証技術に基づく直感的なソリューションを提案している。彼等は、テルアビブ中心地から7、8Km北にあるCityBankが運営するインキュベーション施設で活動しており、言わばまだ独り立ち前の段階にある。

管理が複雑で難しいパスワード

各種オンラインサービスを利用する際のパスワードの課題は今更言うまでもないが、セキュリティを強化するために桁数を増やしたり複雑にすれば覚えるのが大変であり、定期的な更新の必要性は理解しても、実行するのは簡単ではない。複数のサービス、アカウントで同じパスワードを利用するのは危険だが、とは言え、それぞれに異なるパスワードを用意して維持管理するのは大変な努力が必要である。お金を扱うオンラインバンキングサービスでは、振り込み等の処理をする際には、ワンタイムパスワードを生成するトークンの利用が必須になっているところも増えている。消しゴムくらいの大きさとは言え、クレジットカードのように財布に収納するわけにもいかず、持ち歩くのは面倒である。

「一度盗まれたら二度と使えない」という生体認証の本質的問題

これらのパスワードの課題を解決する手段として注目されているのが、生体認証技術である。生体認証技術といえば、指紋認証、手のひら認証、虹彩認証、等が思い浮かぶが、従来はどれも専用の読み取り機が必要であり、利用されるのは銀行内に設置されたATM、データセンターなどの入退室管理など、物理的に大きな設備への応用が中心である。

最近では、多くのスマートフォンには指紋認証が実装されるようになり、スマートフォンのロック解除等に利用されている。しかし、オンラインサービスのログイン認証となると、あるスマートフォンではできるが、別のスマートフォンでは出来ない、というような機器依存性は望ましくない。現状のスマートフォン生体認証技術については、4月13日のengadgetの記事「指紋、虹彩、顔認証... どれが安全？ スマホ生体認証の「限界」を探る：モバイル決済最前線」に非常に良くまとめられているので参照してほしい。

また、余り議論されることはないが、生体認証の本質的な問題は、一度破られたら二度とそのユーザは生体認証が使えない、という点である。指紋も虹彩も本人にとっては「取り替える」ことが出来ない情報だ。ところが、既にお菓子のグミに残っている指紋で認証を破るような実証実験は山ほど行われている。しかし指紋認証が破られたからといって、指の指紋を変更するわけにはいかない。指紋や虹彩は、パスワードのように覚える必要も更新する必要もないが、逆にそれが課題にもなるのだ。

4文字を指で描いて認証するVeryfyooのソリューション

このような課題を解決するために、Verifyooは使い勝手も考慮した、生体認証技術をベースにしたソリューションを提案している。Verifyooの認証技術は、スマートフォンのタッチスクリーン画面で、指定された4文字を指で描くだけ！である。言葉で説明してもなかなかイメージが伝わりにくいと思うが、リンク先に使い方を紹介した極めて簡単な30秒のビデオがあるのでまず見て欲しい。

何故、わずか4文字を手書き入力するだけで、正しく認証ができるのだろうか？　そこに、かれらの特許である、BehaviorMetricという技術が生かされている。

個々のユーザを認証するためには個別のユーザプロファイルデータが必要だが、そのデータ作成のために、最初にやはり文字の手書き入力が求められる。例えば、私がスマホの画面でARAIと4文字のローマ字を手書き入力する場合、私個人特有の、Mental（精神的）、Behavioral（行動的）、Physiological（心理的）な特徴がデータとしてタッチセンサーから取得出来るようだ。CEOのRoyによれば、例えばタッチスクリーンに指で文字入力するとき、人によって、人差し指を使うか、中指を使うか、指の腹で書くか、爪の先を使うか、等々の違いがある、とのこと。これ以上の詳細は教えてもらえなかったが、そのような指の使い方に加えて、文字の書き順とか、大きさ、曲がり具合、筆圧、のような「個人の癖」に関わる情報であると筆者は理解した。

Verifyooでは、初期設定のために「10文字」の手書き入力を「2回」求め、そのわずか30秒程度のプロセスの中で、これらの特徴量を取得する。この個人特有の特徴データを取得し、高度な機械学習技術を適用することで、その個人を特定するためのプロファイルデータを構築する、と説明していた。

一度この個人プロファイルデータが認証サーバーに記録されれば、その後のログイン認証は、先程のビデオでみたように、画面に表示される4文字を手書き入力するだけである。その時の特徴量を見て、ユーザを特定するのだ。無論この4文字の組み合わせは毎回変わる。更に、利用するたびに学習を重ねるので、認識精度が向上するという。

この手法であれば、デバイスによる依存性はない。また、いわゆる盗まれて困る「個人情報」もどこにも介在しない。この点が他の生体認証技術と大きく異なる点と考える。

オンラインバンクへの応用を目指す

この説明から分かるように、彼等のソリューションは、既存のオンラインバンキングのようなモバイルアプリケーションへの応用を目標にしている。彼等はSDKを提供する。オンラインバンクは、既存のモバイルアプリケーションに組み込むことで、まずはログイン認証をVerifyooで置き換える事ができる。更に、専用のAPIにより銀行の認証サーバと統合することで、トークンによるワンタイムパスワードの機能を実現することもできる。ユーザは桁数の大きなパスワードを覚えたり、定期的に更新する必要もなく、トークンのような専用デバイスを持つ必要もない。ユーザの使い勝手としては極めて優れていると感じる。

また、銀行側にとっても、パスワードを忘れてしまった利用者のために、パスワードをリセットしたり、再設定するような仕組みも不要になるので、コストダウンにつながるはずだ。

1月にCyberTechでヒアリングしたときは、技術としてはベータ開発の段階であり、まだ追加投資を求めていた。今回の訪問でもそのフェーズは変わっていなかった。Royによれば、求める投資は150万ドルだそうなので、投資家にとってはそれほど大きな金額ではないだろう。今後の開発スケジュールとしては、2019年半ばまでに実証事件を経て実サービスを始める目標である。、ワコムが開発パートナーであり、セールスのパイプラインにはマスターカードやアリババが入っているとのことだ。日本市場及び日本からの投資にも大変興味を持っているようだ。

無論、金融の取り引きでは「誤認識」は許されないので、わずか4文字の手書き入力で、本当に精度良く認証が出来るものなのかどうかが気になるところだが、今後、多くのパイロットテストを経て具体的な性能が公表されることを期待したい。個人のプロファイルを、Mental（精神的）、Behavioral（行動的）、Physiological（心理的）メトリクスで表すというのが、彼等の独自性であり、そこに機械学習技術を適用して個人のプロファイルデータを構築するところに特許がある。ちなみに、つい先日米国でその特許が成立したと言っていた。

日本の金融機関は特に保守的であり、確立した技術を横並びで導入する傾向があるようにみえる。利用者側も、セキュリティ確保のためには、多少の面倒は受け入れるだろう。しかし、セキュリティを改善し、且つ使い勝手も改善する、というような「挑戦」こそがイノベーションの種になることも意識することが必要だ。多少のリスクは許容し、社会全体で新しいものを育てることで正の循環を生み出す、そんな努力が長年の停滞に悩む今の日本には必要な気がする。

【参考】
・Verifyoo
・「指紋、虹彩、顔認証... どれが安全？ スマホ生体認証の「限界」を探る：モバイル決済最前線」（Engadget 日本版）
・「ゼラチン製の指でiPhoneの指紋認証の突破に挑戦してみた」（TouchLab）