情報工学科/セキュリティ研究センター 納富 一宏 教授

インターネットを通じた遠隔からのパソコン操作時に、本人以外が操作しているかをキーボード操作情報から判定し、セキュリティを強化するための研究

新型コロナウイルス感染症（COVID-19）の感染拡大を踏まえて、企業においてはテレワークを、大学などの教育機関ではオンライン授業などの対応を行っています。これらはいずれもインターネットを通じた遠隔からの情報システムへのアクセスや操作を実行することを意味します。遠隔操作では、現在アクセスしている利用者が正規ユーザであるか否かを確認（認証）する手段の確保がとても重要となります。

例えば、テレワークをしている人やオンライン授業を受けている人が本人であれば問題ありませんが、そうでない場合は、「なりすまし」の不正による情報セキュリティインシデントの発生という問題が生じたことになります。一般には、システムへの最初のログイン時に暗証番号やパスワードで本人確認を行いますが、途中で利用者が別の人間に入れ替われば容易に「なりすまし」が可能です。そこで、これを防止し安全を確保するためには、ユーザがシステムを利用している期間は、何度も本人確認をする必要があることが分かります。

現在の多くのノートPCなどにはカメラやマイクが内蔵されているため、これらの入力デバイスを用いて本人であるかを確認する技術に注目が集まっています。しかしながら、接続環境によっては、プライバシー上の問題があり、特に大学などでのオンライン授業では、むやみにカメラやマイクを使って情報収集することができない場合も少なくありません。そこで、例えば、課題レポートや報告書の作成時やPCでの作業時などに、キーボードからの文字入力のタイミング情報を用いて、本人であるか否かを判別し、本人以外の者が操作していることを認識した時点で、情報システムへのアクセスを制限・中止したり、管理者に警告・通知したりする仕組みを考えることができます。

本研究では、システム使用中の連続的（継続的）な認証手段の提供を目指し、文字列入力操作時の打鍵タイミング情報*1)や打鍵音情報を用いた継続個人認証方式について検証実験を進めています。システム操作の全期間において連続的（継続的）に正規ユーザであるか否かの確認を行うことで安全性の向上が期待できます。

*1)「打鍵タイミング情報」：特定単語や特定コマンド毎のタイピング時の時間情報のこと。キーボード操作は打鍵タイミングに個人の癖が出るため、事前に管理者の打鍵タイミング情報をシステムが学習しておくことで、現在の操作者が正規の利用者であるか否かを判定することが可能となります。