アメリカの複数の国会議員がAmazonの顔認識ソフトウェアの精度で質問状、表現の自由の無視、人種差別の疑いも

一部の国会議員たちは、Amazonがその物議をかもしている顔認識ソフトウェアRekognitionに関する質問に“十分な答を提供していない”とし、いつものように質問に無言で応じることは、答とは認めない、と主張している。

質問状には、上院議員のEdward Markeyや下院のJohn LewisとJudy Chuら8名の議員が署名し、同社の技術の仕組みやその使われ方について、Amazonの最高経営責任者Jeff Bezosに説明を求めている。

書状が送られたのは、このクラウドとリテールの巨大企業が、アメリカ政府およびフロリダ州オーランドを含むアメリカの一部の大都市からサーベイランスを受注して注目を集めた直後だ。

質問の主旨は議員たちによると、“Amazonがそのバイオメトリックス技術をアメリカの移民関税執行局(Immigration and Customs Enforcement, ICE)に積極的に売り込んでいるが、そのパイロット事業にはAmazonによる法執行職員たちに対する実地訓練が欠けている、という報道を契機として、高まった懸念を表明すること”、だという。

議員たちによると、そのシステムは精度に問題があり、人種的偏りに導きかねず、憲法で保証されている表現の自由を犯すおそれもある、という。

書簡は曰く: “しかしながら、現時点では、このタイプのプロダクトには深刻な精度の問題があるという重大な懸念を持たざるをえない。それにより有色者のコミュニティにいわれなき重荷を強い、公共の場において修正第一条の権利を実行したいとするアメリカ人の意思を抑圧するおそれもある”。

議員たちは、Amazonがどうやって精度をテストしたのか、それらのテストは独立的客観的に実施されたのか、そして偏りをどのようにテストしたのか、Amazonに説明を求めている。

[Amazonは耳に栓をするのではなく、顔のサーベイランスが誰にでももたらす深刻な脅威に関し責任を取る必要がある。とくに脅威が大きいのは、有色者や移民、そして活動家だ。Rekognitionを警察やICEの手に渡すべきでない。]

この質問状送付は、ACLUが、そのソフトウェアが28名の議員の顔認識に失敗したことを見つけたあとに行われた。とくに失敗率が高かったのは、有色者だった。

顔認識のソフトウェアは、そもそもの最初から物議を招いている。自社の社員たちからの懸念表明があったあとでもAmazonは、にもかかわらず現状の計画を推進し、何がなんでもその技術を売っていく、と言っている。

Amazonは、二週間あまりのうちに、質問状に答えなければならない。Amazonのスポークスパーソンは、コメントの要求に応じなかった。

関連記事: Amazonは顧客のメールアドレスを露出したことを認めたが詳細を明かさず〔未訳〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

中国では生体認証による決済が当たり前になった…11月11日のショッピングフィーバーがそれを証明

中国の消費者はデジタル決済を採用するのが早くて、最近のショッピングブームを見るとその次のステップへの用意ができているようだ。それは、生体認証(バイオメトリックス, biometrics)による決済だ。

11月11日にAlibabaは、世界最大のショッピングイベント「独身の日」に大勝利し、308億ドルの売上を記録した。それはCyber MondayBlack Fridayを合わせたよりも大きい、驚異的な売上高だ。

中国のユーザーたちは、特売を逃すまいとあせってパスワードを入力する代わりに、一瞬で買い物が完了する新しい技術に飛びついた。今年、独身の日の顧客の60.3%が、指紋または自撮り写真の撮影で決済を行った。

そのデータを見せてくれたAlipayにとっても、そんな集計をするのは今回が初めてだった。同社はAlibaba系列のデジタルウォレット企業だが、全世界で8億7000万人のユーザーのオンラインおよびオフラインの商取引を処理し、ライバルのWeChat Payと肩を並べている。後者はTencentの人気の高いチャットアプリWeChatの決済方式で、ユーザー数(MAU)は同じく8億を超えている

そしてこの二社は共に、シームレスな決済に向かって競走している。Alipayは2014年9月に指紋認証による決済を開始した。それから1年足らずで、WeChat Payがそれに続いた。中国の買い物客は徐々にバイオメトリックな自己証明に慣れて、それによりスマートフォンをアンロックしたり、オフィスビルへ入館したりするようになった。2016年にもなると、Chinese Payment and Clearing Association(中国決済手形交換協会, CPCA)がアンケート調査をした人たちの約95%が、指紋認証を“知っている”と答えた。

次に来たのが、自撮りというやや高度な方法だ。昨年Alipayは、AlibabaとAlipayの本拠地杭州のKFCのお店で、にっこりお支払い(smile-to-pay)と名付けた決済方式を展開し、その後、配達の受け取りなどもっと多方面で顔認識による認証をローンチした。

alipay alibaba face recognition

Alipayの親会社Ant Financialは、配達された荷物をユーザーが受け取るとき顔をスキャンして認証する。/出典: Alibaba

政府はいち早く、顔認識の別の用途に目をつけた。そのよく知られている例は、世界で時価総額がいちばん大きいAI企業SenseTimeとの提携により、国民監視システムを開発していることだ。それによりたとえば、路上の犯罪者を追うことができる。

中国人は、身体的特徴による認証に、急速に慣れつつある。前出CPCAの調査によると、2016年には、70%よりやや多い人びとが、自分のバイオメトリックな情報による決済を平気と答えたが、2017年にはその比率が85%に急増した。

この急速な普及には、問題もある。2016年には調査回答者の半分が、生体認証による決済はセキュリティが心配だ、と答えた。しかし翌2017年には、70%が心配だと答えた。その同じ年に77.1%が、もうひとつの心配としてプライバシーを挙げたが、それは前年には70%弱だった。

画像クレジット: Alibaba

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

スイスの3D画像暗号化システムは指を使うバイオメトリックスのセキュリティを大幅に向上

バイオメトリックスはセキュリティの完全解ではないかもしれないが、堅牢で周到に考えぬかれたものなら、使用に耐える場合もある。AppleのTouchIDも悪くはないが、でもそれで核基地の安全は確保できない。しかし映画の世界を別にすれば、それでもなお、核基地を指紋認証で守らざるを得ないだろう。でもスイスの研究者たちが考えたこの新しいシステムは、正しい方向への一歩だ。

Lambert Sonna Momoが率いる、彼の会社Global IDとスイス連邦工科大学ローザンヌ校(École polytechnique fédérale de Lausanne, EPFL)のコラボレーションは、前者のバイオメトリックス技術と後者の暗号技術を結びつけた

そのバイオメトリックスの側面は、Sonna Momoが開発した、静脈の3D画像だ。“今では誰でも偽の指紋を簡単に安上がりに作れる”、と彼は大学のニュースリリースで説明している。“2Dの静脈認識技術はすでに世界中で使われているが、そのシステムには欠点がある。しかし3Dなら、偽造の危険性はほとんどない”。

同じように見えるパターンでも、画像の次元がひとつ増えると容易に区別できるようになる。3Dのスキャナーもそれほど高価ではなく、300ドルぐらいでできる。彼らはこれまで、さまざまな人びとと肌のタイプに対してスキャナーの性能をテストしてきた。光学的バイオメトリックスでは、重要な検討事項だ。

EPFLは、そのシステムのもうひとつの重要な部分を担当した。それはデータ処理と暗号化だ。指紋でも網膜でも静脈でも、盗まれたからといってリセットはできない。一度破られたら一巻の終わりだ。そういうものに関しては、プライバシーが非常に重要だ。

そこでEPFLの暗号研究室は、スキャナーやIDシステムが暗号を解読する必要のない、準同型暗号方式を考案した。これなら、データがデバイスや通信線の上にあって盗まれても、セキュリティは破られない。またこの方式の副産物として、盗まれたデータが使われたとき、そのパターンには、それがどこから来たかを示すデバイス情報がある。

Sonna Momoは、この技術が病院で活用されることを期待している。そこでは、正しい診療のためには正しい本人確認が重要だからだ。また、迅速で正確なIDを必要とする銀行でも役に立つ、と彼は考えている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

パスワードは死んだのか? ウェブとモバイル認証の未来

password-balloon-four

【編集部注:本稿の筆者、Richard Reinerは、Intel SecurityのTrue Keyの最高技術責任者。

2016年はパスワードが時代遅れになる年になるだろうか?それとも、私たちは笑って耐え続けるだけなのだろうか?しかし、そもそもパスワードがどうしたというのか?

パスワードはかなり以前からあるが(夜、陣営に入る兵隊が秘密の合言葉を言うところを想像してほしい)、今日では平均的消費者が25以上の、パスワードに依存しているサイトやアプリを使っている。強力なパスワードは、12文字以上から成る ー 記憶力の良い人であっても強力なパスワードをたくさん覚えるのは大変だ。

eBay(1.45億ユーザー)、Adobe(3600万ユーザー)、JP Morgan Chase(7600万ユーザー)を始めとする様々なデータ漏えい事件では、パスワードが頻繁に標的になった。セキュリティーの高いサイトでは、パスワードを「ハッシュ」形式(暗号的に変換されユーザーがログインする時には認識されるが、直接読むことはできない)でのみ保存しているが、侵入者はそのハッシュ化されたパスワードを含めデータベースのダンプを入手することが多い。

サイト運営者によるハッシュ化プロセスが適正に行われていれば、パスワードを再現することは困難であり時間もかかる ー が、不可能ではない。そして、残念なことに、適正なハッシュ化が行われていないために簡単にパスワードを取得可能な主要サイトをたびたび目にする。ユーザーのパスワードをひとつ再現することに成功した侵入者は、他の人気サイトやアプリにも侵入を試みる。だから、あちこちで同じパスワードや単純な変化形を使うのは安全ではない。

もっと優れた認証方法は何年も前から存在している ー それなのになぜ私たちはまだパスワードを使っているのだろうか?

生体認証センサーは主流になりつつあり、多くのデバイスで見られるようになった ー 残念ながらパスワードを完全に置き換えられるものはない。どの「より良い」代替手段も ー 指紋認証、顔認識、虹彩認証、音声認識等 ー どこででも使えるわけではない(端末、照明条件、騒音環境、手が使えない時など)。

パスワードを完全に置き換えるためには、利便性と安全性の兼ね合いを調整できる必要もある ー リスクの低い状況では簡単に、至宝を守る時には時間のかかるものに。

しかし、これらの認証要素のいくつかまたは全部を組み合わせて、自分自身で制御できるとしたらどうだろうか?その時の状況にあわせて、安全と利便の正しいバランスにぴったりな要素を選択できたら ー Pinterestにログインするときも、銀行口座から送金するときも。

なぜ私たちはまだパスワードを使っているのか?

さらに言えば、生体認証を努力不要の「受動的」要素、例えば、今つながっているWi-Fiネットワークや今いる都市、あるいはBluetoothウェアラブルが接続されているかどうかを識別するしくみと組み合わせられたらどうだろうか ー もちろんこれも自分自身の制御によって個人の好みを反映させられる。

リスクの小さい状況(Pinterestにログインするとき等)では、受動的要素だけを使用したり、指一本動かすことなく自動的にログインすればよい場合もあるだろう。そして、重要なものを扱うとき、受動的要素はあなたの使っている能動的生体認証方式のセキュリティーを高め、安心を増すことができる。

それが「複数要素認証」であり、もしこれがパスワードに変わる可能性を持つ強力な解であるとするなら、仮に侵入者があなたの顔や指紋を偽り、あなたのWi-Fiネットワークを使うことができたとしても,あなたのノートPCを使っていないためにブロックされることになる。なんと素晴らしいことだろうか。

それは今日も可能だ。ハードウェアベースの「デバイス認証」は、CPUに内蔵された機能によってノートPCやスマートフォンの識別を証明すると同時に、指紋その他の生体認証を使って持ち主が本物であることを証明する。上にあげた受動的要素と同じく、デバイス認証はスピードや利便性に影響を及ぼすことなく、強力なセキュリティーを付加することができる。

しかし、真価を発揮するためには、この種の解決方法は今使っているウェブサイトやアプリで,運営者が新しいテクノロジーへとアップデートするのを待つことなく直ちに利用できる必要がある。そのためには、現在のパスワードを包容し、完全に除去できるまで手間なく管理できる必要がある。

それを簡単、便利にするためには、ユーザーが今使っているウェブサイトやアプリの構造を理解して、パスワードを(安全に暗号化されたストレージに)保存しておき、そのサイトを訪れるたびにログイン画面であなたに代わって自動的に入力する必要がある。

そして最後に、多くのシステムでアキレスのかかととなっている、あの容易に想像できる「アカウント再設定質問」も排除できたらどうだろうか。そうすることによって、ハッカーがソーシャルメディアなどを利用して再設定質問の答えを見つけ、アカウントを乗っ取る「ソーシャルエンジニアリング」からあなたを守ることができる。

どうやって排除するのか?上に書いたのと同じ生体認証や受動的要素、デバイス認証などの方法を使う ー いずれの認証要素も、あなたは忘れることができない!

これが私の考える次世代の解決方法だ。

というわけで、2016年にパスワードは消滅するか? おそらくしないだろう。しかし、それにまつわる面倒はなくなるかもしれない。

原文へ
 
(翻訳:Nob Takahashi / facebook

合衆国国防総省は兵士のバイオメトリックス(身体情報収集)に消費者向けスマホを利用

スマートフォンは世界中のポケットや財布を侵略しているが、しかしAOptixはもうすぐ、それらのモバイルデバイスを遠方の交戦地帯に持ち込むかもしれない。カリフォルニア州Campbellの同社が、政府系ITパートナーCACIと共同で今朝(米国時間2/13)発表したところによると、同社は“スマートモバイルアイデンティティ”なるものを実現するための研究開発を、合衆国国防総省から300万ドルで受託した。

同社のプレスリリースは技術の詳細を明らかにしていないが、Wired誌に詳しい記事がある。その大きな目標は、市販のスマートフォンを利用した一種のアクセサリで、それが高精度なバイオメトリックデータを捕捉する。たとえば親指の指紋、顔や目のスキャン、録音された声、など。

ちょっと話を聞いただけでは、それほど画期的な研究開発テーマとは思えない。スマートフォン自身が数年前に比べて格段に強力になっているし、その傾向はこれからもますます続くだろう。だから近い将来は、スマートフォンと外部センサー群の組み合わせから継続的に大量のデータを送れる、と考えても無理ではない。しかも同社がWired誌に語っているところによると、今のスマートフォンを自分でも持って使っている兵士なら誰でもすぐに使えるような、“直感的なインタフェイス”をそのバイオメトリックシステムは備えるという。

AOptix社はモバイルのプラットホームを特定していないが、おそらくセンサーデバイスとAndroidデバイスを一体化したような最終製品になるのだろう。合衆国国防総省とGoogleのモバイルOSは、互いに他人の関係ではない。2011年の終わりごろには、DellのAndroidタブレットStreak 5 を、政府は公式に採用した。最近国防総省は、iPhoneがペンタゴンで広く使われていることを率直に認めたが、軍用の大量調達品ではコストの点からいっても、iPhoneは無理、Androidで行く、と考えるのが自然だ。コストだけでなく、Androidは開発面でもきわめてオープンなアーキテクチャだから、その点でも有利だ。

しかし、Androidスマートフォンという消費者製品を利用する兵士用バイオメトリックアクセサリ、という考え自体は、ちょっとおどろきだ。しばらく前から‘ITの消費者化’が流行語になっているが、その流れで、これからは‘軍用情報技術の消費者化’が進むのかもしれない。今年のCTIA MobileConカンファレンスでCIO副官Robert Wheeler少佐が、国防総省のモバイル戦略には、既存の問題に革新的なマスマーケット向け技術を利用することも含まれる、と言った。だから今回のAOptixのお話は、今後の長期的な傾向の端緒、にすぎないのだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

合衆国国防総省は兵士のバイオメトリックス(身体情報収集)に消費者向けスマホを利用

aoptix

スマートフォンは世界中のポケットや財布を侵略しているが、しかしAOptixはもうすぐ、それらのモバイルデバイスを遠方の交戦地帯に持ち込むかもしれない。カリフォルニア州Campbellの同社が、政府系ITパートナーCACIと共同で今朝(米国時間2/13)発表したところによると、同社は“スマートモバイルアイデンティティ”なるものを実現するための研究開発を、合衆国国防総省から300万ドルで受託した。

同社のプレスリリースは技術の詳細を明らかにしていないが、Wired誌に詳しい記事がある。その大きな目標は、市販のスマートフォンを利用した一種のアクセサリで、それが高精度なバイオメトリックデータを捕捉する。たとえば親指の指紋、顔や目のスキャン、録音された声、など。

ちょっと話を聞いただけでは、それほど画期的な研究開発テーマとは思えない。スマートフォン自身が数年前に比べて格段に強力になっているし、その傾向はこれからもますます続くだろう。だから近い将来は、スマートフォンと外部センサー群の組み合わせから継続的に大量のデータを送れる、と考えても無理ではない。しかも同社がWired誌に語っているところによると、今のスマートフォンを自分でも持って使っている兵士なら誰でもすぐに使えるような、“直感的なインタフェイス”をそのバイオメトリックシステムは備えるという。

AOptix社はモバイルのプラットホームを特定していないが、おそらくセンサーデバイスとAndroidデバイスを一体化したような最終製品になるのだろう。合衆国国防総省とGoogleのモバイルOSは、互いに他人の関係ではない。2011年の終わりごろには、DellのAndroidタブレットStreak 5 を、政府は公式に採用した。最近国防総省は、iPhoneがペンタゴンで広く使われていることを率直に認めたが、軍用の大量調達品ではコストの点からいっても、iPhoneは無理、Androidで行く、と考えるのが自然だ。コストだけでなく、Androidは開発面でもきわめてオープンなアーキテクチャだから、その点でも有利だ。

しかし、Androidスマートフォンという消費者製品を利用する兵士用バイオメトリックアクセサリ、という考え自体は、ちょっとおどろきだ。しばらく前から‘ITの消費者化’が流行語になっているが、その流れで、これからは‘軍用情報技術の消費者化’が進むのかもしれない。今年のCTIA MobileConカンファレンスでCIO副官Robert Wheeler少佐が、国防総省のモバイル戦略には、既存の問題に革新的なマスマーケット向け技術を利用することも含まれる、と言った。だから今回のAOptixのお話は、今後の長期的な傾向の端緒、にすぎないのだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))