メルマガはこちらから

PAGE
TOP

「セキュリティーAI」実現目指す 誰でもわかる形で不正ログインを防ぐCapy

連載
ASCII STARTUP 今週のイチオシ!

1 2 3

 「ここからワンストップのセキュリティーを。専門家のブレインで固めて、スーパーエンジニアたちで本物の“セキュリティーAI”を作りたい」――オレゴン州立大学卒業、京都大学大学院で情報学の博士号を取得し、国内だけでなく海外でも多数の受賞経験があるCapy(キャピー) Inc.のCEO、岡田満雄氏はサイバーセキュリティーの「ドクター」として、将来の通過点をそう語る。さらにその先には、野望ともいえる大きな目標がある。

 難しい、わかりにくいといわれがちなセキュリティーを、誰もがわかるかたちで提供すること。よくわからないから何も対策せず、その結果やられるという現状を変えるため、岡田氏はどのように活動してきたのか。岡田氏にCapyの生い立ち、そして向かう先に見えるものを聞いた。

Capy Inc.の岡田満雄CEO

ログインの総当たり攻撃を防ぐ「Capy CAPTCHA」とは

画像提供:Capy

 まず、岡田氏が考案し既に多数の国内サイトでも導入されている「Capy CAPTCHA」とはなんだろうか。

 現在、ウェブサイトは利用者を特定する認証手段として、IDとパスワードを利用している。多くのウェブサービスを利用する際に、どうしても発生してしまうのが「パスワードの使い回し」だ。

 パスワードの使い回しはセキュリティー上のリスクのひとつで、あるウェブサービスにおいてID、そしてパスワードが万が一漏えいしてしまうと、そのセットをほかのウェブサービスでも使い回している場合、ログイン試行が成功してしまう可能性がある。これは「正しいユーザーが正しいパスワードを利用してログインしている」ように見えるため、自社サービスには脆弱性がなかったとしても「被害」が発生する。これを「パスワードリスト型攻撃」と呼ぶ。

画像提供:Capy

 パスワードリスト型攻撃と、実際の人間のログイン試行に違いはあるのだろうか。実はそこには「機械」プログラムによるログインか、人間によるログインかの微妙な差がある。その区別さえつけば被害を防げるはずだ。多くの場合、1つのサイトに多数のログインIDパスワードのセットを何度も試行する形での攻撃が行なわれるため、攻撃者はプログラミングにて攻撃を自動化する。

 そこで、IDパスワード以外に、「機械がログイン試行しているかどうか」を判定する仕組みを入れ込む。読者の多くも、極めて読みにくいアルファベットの羅列を入力させるウェブサービスを体験したことがあるだろう。

 機械は読めないが人間は読めるという差を利用したのが、人間とマシンを判別するテスト、「CAPTCHA」と呼ばれる技術だ。岡田氏が考案した「Capy CAPTCHA」は、従来の文字型CAPTCHAをさらに推し進め、より機械が判断しづらく、人間には一目瞭然な「パズル」に進化させたものだ。現在はパズルのピース型に絵をはめ込む「Capyパズルキャプチャ」、さらには絵の中にあるものをルールに従い配置する「Capyアバターキャプチャ」などをリリースしている。

画像提供:Capy

 サービス開始からは4年が経過し、現在ではソフトバンクモバイルの会員サイトや各種クレジットカード企業の会員サイトなど、国内での展開事例が多く存在している。多くの企業からは「不正ログイン試行が防げた」という声が上がっており、中には「外したときに再度不正ログインの波が来るかもしれないため、使い続けていきたい」「自社に導入したら、不正ログイン試行の波が同業他社に流れたようだ」というコメントまであったという。

 さらには、ログインユーザーの行動が怪しい場合、パズルのピースを動的に増やすなどの設定も行われる。このような形で不正ログインに対しては実績・効果を上げているが、Capyとしては次の段階、不正行動を予測する「セキュリティーAI」の実現を目指しているという。

1 2 3

合わせて読みたい編集者オススメ記事

バックナンバー