本記事のポイント
・本人確認は、大きく「身元確認」と「当人認証」に分かれる。
・当人認証には「知識認証」「所有物認証」「生体認証」といった手法が存在し、このうち1つだけで認証することを「単要素認証」、2つ以上の組み合わせて認証することを「多要素認証」と表現する。
・本人確認の設計は、当人認証の強度を示す「AAL(Authentication Assurance Level:当人認証保証レベル)」と、身元確認の強度を示す「IAL(Identity Assurance Level:身元確認保証レベル)」の組み合わせで考える必要がある。
デジタル化が急速に進む現代において、オンラインサービスや行政手続における「本人確認」の重要性はかつてないほど高まっています。
本人確認は、以下の図にある通り、「身元確認」と「当人認証」に分けて考えることができます。
今回は、このうちの「当人認証(Authentication)」について、その定義、具体的な手法、そしてリスクに応じた「保証レベル(Assurance Level)」の考え方を、それぞれご紹介します。
本人確認は、初回に「その人が誰か」を確かめる(身元確認)だけでは安全性を保てません。
むしろ、実際のサービス利用時(ログイン、取引実行時)こそ、本当に本人がアクセスしているのかを確認する当人認証の強度が問われます。
※本記事は、記事公開日時点の情報に基づいて記載しております。
当人認証とは
当人認証(Authentication)とは、オンラインサービスや金融取引などで不正アクセスやなりすましを防ぐために、サービス利用者が間違いなく「あらかじめ登録された本人」であること(身元確認時に登録された本人と同一人物であること)を確認するプロセスを指します。
オンラインサービスでは、本人以外がログインできてしまえば、などの重大リスクにつながります。
- 取引の不正実行
- 個人情報の閲覧
- 決済手段の悪用
- 資産不正送金 など
そのため、当人認証は本人確認の“守りの要”とも言える、重要な工程と言えます。
その一般的なプロセスとしては、デジタル庁が公開する「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン」が参考になります。
画像出典:当人認証プロセスの全体像(デジタル庁「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン」)
当人認証の手法に関する分類
当人認証には、さまざまな手法が存在します。
最も分かりやすく一般的になされているものは、「知識認証」と呼ばれる手法でしょう。例えばWebサイトのマイページへのログインの際に求められるID/パスワードや、パスワードを忘れた場合の「秘密の質問」などがこれに該当します。
この他にも、一意の携帯電話番号に対するSMS認証や銀行の振込などで使われるワンタイムパスワード生成機のような物理的なデバイスを用いる「所有物認証」や、指紋や顔画像、虹彩といった個人の生体情報を使って認証を進める「生体認証」があります。
オンライン上の様々なリスクに対する当人認証の対策例としては、以下が挙げられます。
画像出典:当人認証における主な脅威と対策例(デジタル庁「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン」)
単要素認証と多要素認証
この「知識認証」「所有物認証」「生体認証」のうち、1つだけで認証することを「単要素認証」と表現します。
一方で、例えばID/パスワードを入力した後にスマートフォンを使ってSMS認証/ワンタイムパスワード認証を行うなど、2つの要素を組み合わせて認証することを「2要素認証」と表現します(2つ以上の組み合わせを総称して「多要素認証」と表現します)。
昨今では、オンラインにおける情報セキュリティリスクが高まっているからこそ、あらゆるサービスで多要素認証を推奨する流れがあります。
特に近年では、デバイスでの生体認証などと公開鍵認証(※1)を組み合わせ、パスワードレスで安全かつ簡単に認証を行う「パスキー」(※2)も注目を集めています。
※1.公開鍵認証:ICカードやスマートフォン、USBセキュリティキーなどのデバイスに「秘密鍵」を格納し、公開鍵暗号に基づく認証を行う方式。通常、秘密鍵はデバイスの外部に取り出すことはできない仕組みとなっているが、複数のデバイス間で秘密鍵を同期できる技術も存在する
※2.パスキー:FIDOアライアンスが策定した認証技術。FIDO2技術の主要な認証規格である「WebAuthn」や「CTAP」をベースに、安全かつシームレスなログイン体験を実現する
当人認証保証レベルとは
当人認証には、不正を防ぐ強度を示すアシュアランスレベル(保証レベル)が定義されており、専門用語で「AAL(Authentication Assurance Level:当人認証保証レベル)」と表現されています。
それぞれ3段階のレベル分けがなされています。
画像出典:当人認証保証レベルの位置づけ(デジタル庁「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン」)
このように、サービスや取引などの目的に応じて当人認証保証レベルをアセスメントすることで、認証強度の強弱に関する「ものさし」として機能することになります。政府が定める、当人認証における各保証レベルの対策基準は以下のとおりです。
画像出典:当人認証保証レベルの対策基準(デジタル庁「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン」)
ちなみに、サービス全体の安全性を考える上では、当人認証保証レベルだけでなく、冒頭で触れた以下の図に記載された「身元確認」のアシュアランスレベル・IAL(Identity Assurance Level:身元確認保証レベル)」との組み合わせが極めて重要になります。
一般的に「とにかくアシュアランスレベルを高くすればいい」と考えがちですが、バランスを欠いた設計はリスクを招きます。
例えば、当人認証保証レベルを最高レベル(AAL3)で設計しても、サービス利用開始時の身元確認保証レベルが最低(IAL1)だと、アカウント作成時に他人がなりすましていた可能性や、記載情報がそもそも虚偽であるリスクが高まり、安全性は担保されません。
逆に、身元確認保証レベルを最高レベル(IAL3)で設計しても、サービス利用時の当人認証保証レベルが不十分だと、一度ログインされてしまうことで「厳格に身元確認された正当な利用者」として振る舞われてしまうため、かえって被害が拡大したり、発覚が遅れたりする恐れすらあります。
このように、サービスや取引等の目的に応じて身元確認および当人認証のアシュアランスレベルをアセスメントすることで、認証強度の強弱に関する「ものさし」として機能させる必要があります。
※これらのアシュアランスレベルの概念は、米国国立標準技術研究所(NIST)のガイドライン「NIST SP 800-63 デジタルアイデンティティガイドライン」をベースにしています。これまで正式発行されていたのは第3版(NIST SP 800-63-3)でしたが、2025年7月に改訂された第4版(NIST SP 800-63-4)が公開されました。ここまでご紹介してきた「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン」は、このNISTの最新版ガイドラインに準拠する形で作成されています。
IALとAALをセットで設計・チューニングしましょう
ここまでお伝えしたとおり、当人認証は、ログインや取引実行といったサービス利用時に本人性を守る仕組みです。事前に想定されるリスクに応じてIALをAALセットで設計し、目的に合った強度にチューニングすることで、不正アクセスの多くを抑止できると考えております。
本人確認のオンライン化、eKYCの導入をご検討の際は、ぜひお気軽にTRUSTDOCKまでお問い合わせください。
※eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目などを、計10個のポイントにまとめていますので、こちらもぜひご活用ください。
