Googleはパスワードを廃止するしくみを計画している。様々な特徴 ― タイピングのパターン、歩き方のパターン、ユーザーの現在位置、等々 ― を組み合わせることによって個人を特定するシステムで、テストがうまくいけば年内にもAndroidデベロッパーに提供される予定だ。金曜日午後にGoogle I/Oデベロッパーカンファレンスで行われた目立たない発表の中で、Googleの研究開発部門ATAPのDaniel Kaufmanが、Project Abacusの最新状況を説明した。二要素認証に代えて生体認証を使うシステムの名前だ。
覚えているかもしれないが、Project Abacusは昨年のGoogle I/Oで初めて紹介され、パスワードと暗証番号の面倒からユーザーを解放する野心的計画と説明された。
今日、セキュアなログイン ― 銀行やエンタープライズ環境で用いられているもの ― は単なるユーザー名とパスワード以上を要求する。さらにSMSやメールで携帯電話に送られてくる特別な暗証番号の入力も要求することが多い。これは一般に「二要素認証」と呼ばれ、ユーザーの知っているもの(パスワード)と、ユーザーの所有するもの(例えば携帯電話)を組み合わせることから、そう呼ばれている。
Project Abacusでは、ユーザーは端末のアンロックやアプリへのサインインを、蓄積された「信頼スコア」に基づいて行う。このスコアは様々な要素を用いて計算され、例えば、ユーザーのタイプするパターン、現在位置、話すスピードやパターン、顔認識、等々が使用される。
既にGoogleは同様の技術をAndroid端末(Android 5.0以降)に“Smart Lock” という名前で実装しており、ユーザーが信頼された位置にいるか、信頼されたBluetoothデバイスが接続されているか、本人がデバイスを持っているか、あるいはデバイスがユーザーの顔を認識すると自動的に端末がアンロックされる(ちなみにSmart Lock for Passwordsは、単にウェブサイトやアプリのパスワードを保存して、次に訪れた時に自動入力する機能)。
Project Abacusはちょっと違う。端末のバッググラウンドで動作し、ユーザーのデータを連続的に収集して信頼スコアを生成する。
基本的にこのスコアは、本人であると言っている人がどの程度確かに本人であるかを示す。もしスコアが十分高くなければ、アプリは昔に戻ってパスワードを尋ねることができる。ATAPは、アプリによって異なる信頼スコアを要求することもできると以前言っていた。例えば、銀行はモバイルゲームよりも高いスコアを要求するかもしれない。
Google I/O 2015でProject Abacusがデビューした時
「誰でもスマホを持っていて、そこにはあらゆるセンサーが入っている。私が誰かをわかってくれれば、パスワードは必要なくなるはず。スマホを使うことに専念できるべきだ」とKaufmanは説明し、パスワードベースの個人認証の問題点を指摘した。
彼によると、Googleの検索や機械学習グループの技術者たちがProject Abacusのアイデアに注目し、「信頼API」(Trust API)というものを作った。このAPIは来月から銀行でテストに入る。
6月に「いくつかの非常に大きい金融機関」が信頼APIの初期テストを開始する、とKaufmanは言った。
「これがうまく行けば、世界中のAndroidデベロッパーが年内には利用できるようになる」と付け加えた。
Kaufmanはすぐに他のATAPプロジェクトの話に移り、つながった衣服、モジュラー・スマートフォン、レーダーセンサー等々について話した。他の技術も楽しみではあるが、この「信頼API」は特に、スマートフォンでアプリを使うやり方に関して、現実世界の変化を生むものだ。これはまた、アプリのコンテンツを安全に守る新しい方法にもなる ― 本人以外がスマートフォンを手に入れアンロックできたときでも、ソフトウェアが〈本人でない〉と判定すれば、あらゆるアプリを自動的にロックすることができる。
昨年Googleは、Project Abacusが全米28州、33校の大学で試行されていると言った。銀行での利用は大きな進展だ。そして年内にはAndroidデベロッパーが自分のアプリに実装できるようになれば、Googleはユーザー認証に関して、ライバルシステムであるAppleの指紋認証ベースのTouchIDに対して、独自の優位性を得ることができるかもしれない。
[原文へ]
(翻訳:Nob Takahashi / facebook)