知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-01-04
(45)【発行日】2023-01-13
(54)【発明の名称】再認証装置、再認証方法および再認証プログラム
(51)【国際特許分類】
G06F 21/31 20130101AFI20230105BHJP
【FI】
G06F21/31
【請求項の数】
15
(21)【出願番号】P 2019172327
(22)【出願日】2019-09-20
(65)【公開番号】P2021051395
(43)【公開日】2021-04-01
【審査請求日】2021-12-17
(73)【特許権者】
【識別番号】319013263
【氏名又は名称】ヤフー株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】大神 渉
(72)【発明者】
【氏名】五味 秀仁
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2013-210758(JP,A)
【文献】国際公開第2019/163043(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31
(57)【特許請求の範囲】
【請求項1】
所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定部と、前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証部と
を有し、
前記判定部は、利用者が入力した情報を用いずに当該利用者に関する情報を検知する検知装置が検知した情報を用いて当該利用者のアカウントの認証を行うウェブサービスにおけるアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、前記認証用情報を取得したか否かを判定する
ことを特徴とする再認証装置。
【請求項2】
所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定部と、
前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証部と、
前記第1端末装置から前記アカウントの再認証の要求を受け付けた場合は、前記第2利用者が利用する第2端末装置に対し、前記認証用情報を提供する提供部と、
前記第1端末装置から、当該第1端末装置が他の端末装置から取得した認証用情報を取得する取得部と
を有し、
前記判定部は、前記第1端末装置から、前記第2端末装置に対して提供された認証用情報を取得したか否かを判定する
ことを特徴とする再認証装置。
【請求項3】
前記取得部は、前記第1端末装置が他の端末装置から前記認証用情報を取得した際における当該第1端末装置のコンテキストを示す第1コンテキスト情報と、前記第2端末装置から、当該第2端末装置が他の端末装置に前記認証用情報を提供した際における当該第2端末装置のコンテキストを示す第2コンテキスト情報とをさらに取得し、前記判定部は、前記第1端末装置から、前記第2端末装置に対して提供された認証用情報を取得し、かつ、前記第1コンテキスト情報と前記第2コンテキスト情報とが対応するか否かを判定し、
前記再認証部は、前記第1端末装置から、前記第2端末装置に対して提供された認証用情報を取得し、かつ、前記第1コンテキスト情報と前記第2コンテキスト情報とが対応すると判定された場合は、前記第1利用者のアカウントを再認証する
ことを特徴とする請求項2に記載の再認証装置。
【請求項4】
前記取得部は、第1コンテキスト情報として、前記第1端末装置が他の端末装置から前記認証用情報を取得した日時を示す情報を取得すると共に、前記第2コンテキスト情報として、前記第2端末装置が他の端末装置に前記認証用情報を提供した日時を示す情報を取得することを特徴とする請求項3に記載の再認証装置。
【請求項5】
前記取得部は、第1コンテキスト情報として、前記第1端末装置が他の端末装置から前記認証用情報を取得した位置を示す情報を取得すると共に、前記第2コンテキスト情報として、前記第2端末装置が他の端末装置に前記認証用情報を提供した位置を示す情報を取得することを特徴とする請求項3に記載の再認証装置。
【請求項6】
所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定部と、
前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証部と
を有し、
前記判定部は、前記第1利用者が管理する認証用情報であって前記第2利用者が前記アカウントの再認証を受けるための第1認証用情報と、前記第2利用者が管理する認証用情報であって、第1利用者が前記アカウントの再認証を受けるための第2認証用情報とを管理する所定の端末装置から前記第1端末装置が取得した第2認証用情報を取得したか否かを判定する
ことを特徴とする再認証装置。
【請求項7】
前記判定部は、前記第1利用者と所定の関連性を有する第2利用者が管理する認証用情報を取得したか否かを判定することを特徴とする請求項1~6のうちいずれか1つに記載の再認証装置。
【請求項8】
前記所定のウェブサービスの利用履歴に基づいて、前記第1利用者と所定の関連性を有する第2利用者を推定する推定部を有し、
前記判定部は、前記第1利用者と所定の関連性を有すると推定された第2利用者が管理する認証用情報を取得したか否かを判定する
ことを特徴とする請求項7に記載の再認証装置。
【請求項9】
前記判定部は、前記第1利用者と所定の関連性を有する利用者として予め登録された第2利用者が管理する認証用情報を取得したか否かを判定することを特徴とする請求項7に記載の再認証装置。
【請求項10】
再認証装置が実行する再認証方法であって、所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定工程と、
前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証工程と
を含み、
前記判定工程では、利用者が入力した情報を用いずに当該利用者に関する情報を検知する検知装置が検知した情報を用いて当該利用者のアカウントの認証を行うウェブサービスにおけるアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、前記認証用情報を取得したか否かを判定する
ことを特徴とする再認証方法。
【請求項11】
所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定手順と、前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証手順と
をコンピュータに実行させ、
前記判定手順では、利用者が入力した情報を用いずに当該利用者に関する情報を検知する検知装置が検知した情報を用いて当該利用者のアカウントの認証を行うウェブサービスにおけるアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、前記認証用情報を取得したか否かを判定する
ことを特徴とする再認証プログラム。
【請求項12】
再認証装置が実行する再認証方法であって、
所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定工程と、
前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証工程と、
前記第1端末装置から前記アカウントの再認証の要求を受け付けた場合は、前記第2利用者が利用する第2端末装置に対し、前記認証用情報を提供する提供工程と、
前記第1端末装置から、当該第1端末装置が他の端末装置から取得した認証用情報を取得する取得工程と
を含み、
前記判定工程では、前記第1端末装置から、前記第2端末装置に対して提供された認証用情報を取得したか否かを判定する
ことを特徴とする再認証方法。
【請求項13】
所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定手順と、
前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証手順と、
前記第1端末装置から前記アカウントの再認証の要求を受け付けた場合は、前記第2利用者が利用する第2端末装置に対し、前記認証用情報を提供する提供手順と、
前記第1端末装置から、当該第1端末装置が他の端末装置から取得した認証用情報を取得する取得手順と
をコンピュータに実行させ、
前記判定手順では、前記第1端末装置から、前記第2端末装置に対して提供された認証用情報を取得したか否かを判定する
ことを特徴とする再認証プログラム。
【請求項14】
再認証装置が実行する再認証方法であって、
所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定工程と、
前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証工程と
を含み、
前記判定工程では、前記第1利用者が管理する認証用情報であって前記第2利用者が前記アカウントの再認証を受けるための第1認証用情報と、前記第2利用者が管理する認証用情報であって、第1利用者が前記アカウントの再認証を受けるための第2認証用情報とを管理する所定の端末装置から前記第1端末装置が取得した第2認証用情報を取得したか否かを判定する
ことを特徴とする再認証方法。
【請求項15】
所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定手順と、
前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証手順と
をコンピュータに実行させ、
前記判定手順では、前記第1利用者が管理する認証用情報であって前記第2利用者が前記アカウントの再認証を受けるための第1認証用情報と、前記第2利用者が管理する認証用情報であって、第1利用者が前記アカウントの再認証を受けるための第2認証用情報とを管理する所定の端末装置から前記第1端末装置が取得した第2認証用情報を取得したか否かを判定する
ことを特徴とする再認証プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、再認証装置、再認証方法および再認証プログラムに関する。
【背景技術】
【0002】
従来、アカウントの認証を行った利用者に対し、インターネットを介して各種のサービスを提供する技術が知られている。このような技術において、パスワード等といったアカウントの認証に用いる情報を利用者が紛失した場合に、利用者しか知りえない質問と答えのペアを用いて、アカウントのリカバリを行う技術が知られている。また、利用者のライフログに関する質問に対する回答に基づいて、利用者の認証を行う技術が知られている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2009-93273号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記の従来技術では、アカウントリカバリの利便性を改善する余地がある。
【0005】
例えば、上述した従来技術では、過去のライフログに関して、質問に対する正しい回答を行う必要があるため、利用者が過去の事象を忘れている場合等には、アカウントのリカバリを行うことができない。また、利用者が秘密の質問の内容や回答を忘れている場合にも、アカウントのリカバリを行うことができなくなる。
【0006】
一方で、近年の情報処理技術の進歩に伴い、利用者からアカウント名やパスワード等の入力を求めずとも、利用者本人の認証を行うFIDO(Fast IDentity Online)の技術が提案されている。このようなFIDOの技術において、アカウントのリカバリを実現するために各種の情報の入力を利用者に求めた場合は、ユーザビリティの改善を毀損してしまう恐れがある。
【0007】
本願は、上記に鑑みてなされたものであって、アカウントリカバリの利便性を改善することができる再認証装置、再認証方法および再認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本願に係る再認証装置は、所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、当該第1利用者とは異なる利用者であって、前記アカウントが認証済みの第2利用者が管理する認証用情報を取得したか否かを判定する判定部と、前記第1端末装置から、前記第2利用者が管理する認証用情報を取得したと判定された場合は、前記第1利用者のアカウントを再認証する再認証部とを有し、前記判定部は、利用者が入力した情報を用いずに当該利用者に関する情報を検知する検知装置が検知した情報を用いて当該利用者のアカウントの認証を行うウェブサービスにおけるアカウントの再認証の対象となる第1利用者が利用する第1端末装置から、前記認証用情報を取得したか否かを判定することを特徴とする。
【発明の効果】
【0009】
実施形態の一態様によれば、アカウントリカバリの利便性を改善することができる。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
以下に、本願に係る再認証装置、再認証方法および再認証プログラムを実施するための形態(以下、「実施形態」と記載する。)について図面を参照しつつ詳細に説明する。なお、これらの実施形態により本願に係る再認証装置、再認証方法および再認証プログラムが限定されるものではない。また、以下の実施形態において同一の部位には同一の符号を付し、重複する説明は省略される。
【0012】
(第1実施形態)
〔1.アカウントのリカバリ処理〕
まず、図1を用いて、第1実施形態に係る再認証プログラムにより実現されるアカウントのリカバリ処理の一例について説明する。図1は、第1実施形態に係るアカウントのリカバリ処理の一例を示す図である。図1では、第1ユーザのアカウント失効時において、第1ユーザと所定の関連性(関係)を有する第2ユーザに、第1ユーザのアカウントのリカバリ承認要求を行うリカバリ処理(アカウントの手続きの一例)を説明する。
〔1.アカウントのリカバリ処理〕
まず、図1を用いて、第1実施形態に係る再認証プログラムにより実現されるアカウントのリカバリ処理の一例について説明する。図1は、第1実施形態に係るアカウントのリカバリ処理の一例を示す図である。図1では、第1ユーザのアカウント失効時において、第1ユーザと所定の関連性(関係)を有する第2ユーザに、第1ユーザのアカウントのリカバリ承認要求を行うリカバリ処理(アカウントの手続きの一例)を説明する。
【0013】
なお、アカウントが失効する状態とは、例えば、サービスへのログイン時にパスワード入力を規定回数以上誤った場合等に、該当するアカウントが一時的に利用できなくなる状態である。
【0014】
図1に示す第1端末装置10および第2端末装置20は、例えばスマートフォンやタブレット端末等のスマートデバイスであって、それぞれ異なる利用者によって利用される情報処理装置である。なお、上述した第1端末装置10および第2端末装置20は、例えばデスクトップ/ノート型PC(Personal Computer)、携帯電話機(フィーチャーフォン)、据置型/携帯型ゲーム機、AV(オーディオビジュアル)機器、情報家電、又はその他のインターネットを介して情報の提供が受けられる電子機器(ガジェット)等であってもよい。
【0015】
第1実施形態では、第1端末装置10の利用者を第1ユーザRU(Recovery User)、第2端末装置20の利用者を第2ユーザAU(Authentication User)とする。第1ユーザRUは、アカウントを失効した利用者である。第2ユーザAUは、第1ユーザRUとは異なる利用者であって、アカウントが認証済みの利用者である。すなわち、第2端末装置20は認証済み端末である。第1ユーザRUと第2ユーザAUとは、何らかの信頼に足る所定の関連性を有するものとする。例えば、企業等の組織において、第1ユーザRUが社員で、第2ユーザAUがその上司や同僚等である場合等が考えられる。なお、図示は省略するが、第2ユーザAUおよび第2端末装置20は複数でもよい。すなわち、複数の相手(複数の上司/同僚、上司及び同僚等)を第1ユーザRUの認証者としてもよい。
【0016】
また、図1に示す再認証装置100は、第1端末装置10および第2端末装置20からアクセス可能なサーバ装置であり、第1端末装置10および第2端末装置20の各利用者に、アカウントでのログインを要する所定のウェブサービスを提供する。第1実施形態では、再認証装置100は、上記ウェブサービスとして、少なくとも第1のサービスを提供する。また、再認証装置100は、各利用者のアカウントを管理しており、アカウントのリカバリを要求するリカバリ要求に応じて、アカウントのリカバリ処理を行う。
【0017】
図1に示すように、第1実施形態に係る再認証装置100は、まず、アカウントを失効した第1ユーザRUの第1端末装置10からアカウントのリカバリを要求するリカバリ要求(実行要求の一例)を受け付ける(ステップS11)。
【0018】
再認証装置100は、第1ユーザRUの第1端末装置10からリカバリ要求を受け付けると、認証者の認証要求を行う(ステップS12)。例えば、再認証装置100は、所定のウェブサービスの利用履歴に基づいて、第1ユーザRUと所定の関連性を有する第2ユーザAUを推定し、第2ユーザAUの第2端末装置20に対して、第2ユーザAU自身の認証要求を行う。
【0019】
第2ユーザAUの第2端末装置20は、再認証装置100から認証要求を受け付けると、FIDO(Fast IDentity Online)認証用の情報を取得する(ステップS13)。FIDO認証用の情報は、例えば第2ユーザAUの生体情報(指紋や手の静脈、虹彩等)等である。
【0020】
そして、第2ユーザAUの第2端末装置20は、取得したFIDO認証用の情報を用いてFIDO認証を行う(ステップS14)。例えば、FIDO認証では、第2ユーザAUの第2端末装置20は、自身に保存されている「秘密鍵」を生体認証によって解除し、生体認証の結果、第2ユーザAU本人であると識別できた認証結果を秘密鍵で署名して再認証装置100に送る。
【0021】
再認証装置100は、認証者を認証する(ステップS15)。例えば、再認証装置100は、自身に保存されている「公開鍵」を用いて、第2ユーザAUの第2端末装置20から送られてきた署名付きの認証結果を識別し、第2ユーザAUの第2端末装置20を認証する。
【0022】
再認証装置100は、第2ユーザAUの第2端末装置20に対して、第1のサービスにログインするために用いられる認証用情報とともに、要求者の認証(承認)を依頼する(ステップS16)。再認証装置100が提供する第1のサービスにログインするために用いられる認証情報を示す。要求者は、アカウントのリカバリ要求の要求者である第1ユーザRUである。
【0023】
第2ユーザAUの第2端末装置20は、要求者の認証を行う(ステップS17)。すなわち、第2ユーザAUの第2端末装置20は、アカウントのリカバリ要求の要求者である第1ユーザRUの認証を行う。なお、第1ユーザRUの認証については、例えば第2ユーザAUが直接第1ユーザRUに会って本人確認してもよいし、第2ユーザAUの第2端末装置20が第1ユーザRU本人からFIDO認証用の情報を取得してFIDO認証を行ってもよい。すなわち、要求者の認証方法は、第2ユーザAU又は第2端末装置20が第1ユーザRU本人であることを確認できる方法であればよい。
【0024】
第2ユーザAUの第2端末装置20は、要求者の認証の結果、第1ユーザRU本人であると確認できた場合、再認証装置100から通知された認証用情報を表示する(ステップS18)。第1ユーザRUの第1端末装置10は、第2ユーザAUの第2端末装置20から認証用情報を取得する(ステップS19)。例えば、第2ユーザAUの第2端末装置20は、二次元バーコード等の形式で認証用情報を画面上に表示する。第1ユーザRUの第1端末装置10は、第2ユーザAUの第2端末装置20の画面上に表示された二次元バーコード等を読み取ることで認証用情報を取得する。あるいは、第2ユーザAUの第2端末装置20は、近距離無線通信(NFC:Near Field Communication)を利用して、認証用情報を暗号化した状態で第1ユーザRUの第1端末装置10に提供してもよい。すなわち、第1ユーザRUの第1端末装置10は、第2ユーザAUが第1ユーザRUを視認できる程度の近距離で第2ユーザAUの第2端末装置20から認証用情報を取得する。
【0025】
第1ユーザRUの第1端末装置10は、第2ユーザAUの第2端末装置20から取得した認証用情報を再認証装置100へ送信する(ステップS20)。
【0026】
再認証装置100は、第1ユーザRUの第1端末装置10から受信した認証用情報の確認を行う(ステップS21)。
【0027】
再認証装置100は、第1ユーザRUの第1端末装置10に対して、認証用情報の確認結果を通知する(ステップS22)。例えば、再認証装置100は、認証用情報の確認の結果、正式な認証用情報である(問題なし)と判断した場合、認証用情報の確認結果の通知とともに(あるいは認証用情報の確認結果として)、第1ユーザRUの認証要求を行う。
【0028】
第1ユーザRUの第1端末装置10は、再認証装置100から認証用情報の確認結果を受け付けると、FIDO認証用の情報を取得する(ステップS23)。FIDO認証用の情報は、例えば第1ユーザRUの生体情報等である。
【0029】
そして、第1ユーザRUの第1端末装置10は、取得したFIDO認証用の情報を用いてFIDO認証を行う(ステップS24)。例えば、第1ユーザRUの第1端末装置10は、自身に保存されている「秘密鍵」を生体認証によって解除し、生体認証の結果、第2ユーザAU本人であると識別できた認証結果を秘密鍵で署名して再認証装置100に送る。
【0030】
再認証装置100は、要求者を再認証する(ステップS25)。例えば、再認証装置100は、自身に保存されている「公開鍵」を用いて、第1ユーザRUの第1端末装置10から送られてきた署名付きの認証結果を識別し、第1ユーザRUの第1端末装置10を再認証する。
【0031】
再認証装置100は、再認証の結果を第1ユーザRUの第1端末装置10に通知する(ステップS26)。これにより、再認証装置100は、第1ユーザRUの第1端末装置10からのアカウントのリカバリ要求を許可し、アカウントをリカバリする。
【0032】
〔2.再認証装置の構成〕
次に、図2を用いて、第1実施形態に係る再認証装置100の構成について説明する。図2は、第1実施形態に係る再認証装置100の構成例を示す図である。図2に示すように、再認証装置100は、通信部110と、記憶部120と、制御部130とを有する。なお、再認証装置100は、再認証装置100を管理する管理者等から各種操作を受け付ける入力部(例えば、キーボードやマウス等)や、各種情報を表示するための表示部(例えば、液晶ディスプレイ等)等のコンソール(console)を有してもよい。また、再認証装置100は、管理者等が利用する端末装置からネットワークNを介して各種操作を受け付けてもよい。
次に、図2を用いて、第1実施形態に係る再認証装置100の構成について説明する。図2は、第1実施形態に係る再認証装置100の構成例を示す図である。図2に示すように、再認証装置100は、通信部110と、記憶部120と、制御部130とを有する。なお、再認証装置100は、再認証装置100を管理する管理者等から各種操作を受け付ける入力部(例えば、キーボードやマウス等)や、各種情報を表示するための表示部(例えば、液晶ディスプレイ等)等のコンソール(console)を有してもよい。また、再認証装置100は、管理者等が利用する端末装置からネットワークNを介して各種操作を受け付けてもよい。
【0033】
(通信部110について)
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。かかる通信部110は、ネットワークNと有線又は無線で接続され、ネットワークNを介して、第1端末装置10や第2端末装置20との間で情報の送受信を行う。
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。かかる通信部110は、ネットワークNと有線又は無線で接続され、ネットワークNを介して、第1端末装置10や第2端末装置20との間で情報の送受信を行う。
【0034】
(記憶部120について)
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部120は、認証データベース121を有する。
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部120は、認証データベース121を有する。
【0035】
(認証データベース121について)
認証データベース121は、第1のサービスに関する情報を記憶する。ここで、図3に、第1実施形態に係る認証データベース121の一例を示す。図3は、第1実施形態に係る認証データベース121の一例を示す図である。図3に示した例では、認証データベース121は、「アカウントID」、「登録デバイスID」、「登録ユーザ」、「ユーザID」、「認証用情報」、「認証者ID」、「第1サービス行動履歴」といった項目を有する。また、第1サービス行動履歴は、「利用ログID」、「行動履歴」、「行動日時」、「位置情報」といった小項目を有する。
認証データベース121は、第1のサービスに関する情報を記憶する。ここで、図3に、第1実施形態に係る認証データベース121の一例を示す。図3は、第1実施形態に係る認証データベース121の一例を示す図である。図3に示した例では、認証データベース121は、「アカウントID」、「登録デバイスID」、「登録ユーザ」、「ユーザID」、「認証用情報」、「認証者ID」、「第1サービス行動履歴」といった項目を有する。また、第1サービス行動履歴は、「利用ログID」、「行動履歴」、「行動日時」、「位置情報」といった小項目を有する。
【0036】
「アカウントID」は、第1のサービスにおけるアカウントを識別する識別情報を示す。「登録デバイスID」は、第1のサービスで利用するデバイスとして登録されているデバイスを識別する識別情報を示す。「登録ユーザ」は、アカウントを保持するユーザを示す。なお、第1実施形態において、アカウントID等の識別情報は、説明で用いる参照符号と一致するものとする。例えば、登録デバイスIDが「20」であるデバイスは、第1端末装置10を示す。
【0037】
「ユーザID」は、アカウントを利用するユーザを識別するために用いられる識別情報である。例えば、ユーザIDは、第1のサービスにおいてユーザがアカウントを作成する際にユーザによって選択される任意の文字列によって構成される。なお、ユーザIDは、例えば登録デバイスである第1端末装置10に登録されるメールアドレス等が利用されてもよい。
【0038】
「認証用情報」は、第1のサービスにログインするために用いられる認証情報を示す。図3に示した例では、認証用情報は、第1ユーザRUが任意に設定する文字列によって構成されるパスワードであるものとする。例えば、ユーザは、アカウントに対応付けられたユーザIDとパスワードのペアを入力して、第1のサービスにログインする。
【0039】
「認証者ID」は、当該ユーザを認証する認証者を識別するために用いられる識別情報である。図3に示した例では、認証者IDは、第1ユーザRUを認証する認証者である第2ユーザAUのアカウントIDであるものとする。
【0040】
「第1サービス行動履歴」は、第1のサービスにおける行動履歴を示す。「利用ログID」は、ユーザが第1のサービスを利用するためにログインした際のログを識別するための識別情報を示す。図3に示す例では、利用ログIDは、ユーザが第1のサービスにログインしてからログアウトするまでの1つのセッションごとに付与されるものとする。
【0041】
「行動履歴」は、ユーザの行動履歴を示す。なお、図3では図示を省略しているが、行動履歴の項目には、例えばユーザがポータルサイト内の記事をクリックした行動や、商品を購買した行動や、クエリを入力して検索を行なった行動など、具体的な行動が記憶されてもよい。
【0042】
「行動日時」は、ユーザの行動履歴に対応する日時を示す。図3に示した例では、行動日時は、10分ごとに記憶されることを示しているが、行動日時は、より細かい単位(1分や1秒など)で記憶されてもよい。「位置情報」は、行動履歴に対応する位置情報を示す。例えば、再認証装置100は、ユーザが第1のサービスにログインした時点や、ログインを継続している間、継続的に第1端末装置10(スマートフォン)が検知する位置情報を取得し、行動履歴と対応付けて認証データベース121に記憶する。なお、図3では、位置情報の項目に「G011」といった概念的な情報が記憶される例を示しているが、実際には、位置情報の項目には、経度や緯度などの具体的な数値や、位置情報を推定することが可能な情報(例えば、第1端末装置10のIPアドレス等)等が記憶される。
【0043】
すなわち、図3の例では、アカウントID「A01」で識別されるアカウントA01には、登録デバイスID「20」で識別されるデバイスである第1端末装置10が登録されており、登録ユーザは「U01」であることを示している。また、アカウントA01に対応するユーザIDは「XXXX」であり、認証用情報は「YYYY」であり、認証者IDは「A02」であることを示している。また、アカウントA01には、利用ログID「B01」や「B02」で識別されるログが蓄積されており、例えば、利用ログB01では、行動履歴として「ログイン」が、「2017年3月1日12:00」に行われており、その時点の第1端末装置10の位置情報が「G011」であることを示している。
【0044】
(制御部130について)
制御部130は、例えば、コントローラ(controller)であり、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、再認証装置100内部の記憶装置に記憶されている各種プログラム(第1実施形態に係る再認証プログラムの一例に相当)がRAMを作業領域として実行されることにより実現される。また、制御部130は、コントローラであり、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現される。
制御部130は、例えば、コントローラ(controller)であり、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、再認証装置100内部の記憶装置に記憶されている各種プログラム(第1実施形態に係る再認証プログラムの一例に相当)がRAMを作業領域として実行されることにより実現される。また、制御部130は、コントローラであり、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現される。
【0045】
図2に示すように、制御部130は、推定部131と、提供部132と、取得部133と、判定部134と、再認証部135とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部130の内部構成は、図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、制御部130が有する各処理部の接続関係は、図2に示した接続関係に限られず、他の接続関係であってもよい。
【0046】
推定部131は、第1のサービスの利用履歴に基づいて、第1ユーザRUと所定の関連性を有する第2ユーザAUを推定する。第1ユーザRUと第2ユーザAUとの関連性については、第1のサービスの利用状況などから推測可能である。例えば、推定部131は、第1ユーザRUと第2ユーザAUとが第1のサービスを介して頻繁に連絡を取り合っている/何らかのデータ通信のやり取りをしている場合には、所定の関連性を有することが推測可能である。また、推定部131は、第1のサービスの利用時の位置情報から一緒に行動することが多い/普段から近くにいる等が推測可能である。また、第1ユーザRUと第2ユーザAUとがよく一緒にいる場所(会社や学校等)で今まさにアカウントのリカバリ要求が行われている場合には、第2ユーザAUが第1ユーザRUの認証者になり得ることは推測可能である。
【0047】
提供部132は、第1端末装置10からアカウントの再認証の要求を受け付けた場合は、第2ユーザAUが利用する第2端末装置20に対し、第1のサービスにログインするために用いられる認証用情報を提供する。
【0048】
取得部133は、第1端末装置10から、第1端末装置10が他の端末装置から取得した認証用情報を取得する。例えば、取得部133は、第1端末装置10から、第1端末装置10が第2端末装置20から取得した認証用情報を取得する。
【0049】
判定部134は、第1端末装置10から、第2端末装置20に対して提供された認証用情報を取得したか否かを判定する。具体的には、判定部134は、所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1ユーザRUが利用する第1端末装置10から、第1ユーザRUとは異なる利用者であって、アカウントが認証済みの第2ユーザAUが管理する認証用情報を取得したか否かを判定する。
【0050】
第1実施形態では、判定部134は、第1ユーザRUと所定の関連性を有する第2ユーザAUが管理する認証用情報を取得したか否かを判定する。第1ユーザRUと所定の関連性を有する第2ユーザAUとは、例えば、推定部131により第1ユーザRUと所定の関連性を有すると推定された第2ユーザAUでもよいし、第1ユーザRUと所定の関連性を有する利用者として予め登録された第2ユーザAUでもよい。すなわち、判定部134は、第1ユーザRUと所定の関連性を有すると推定された第2ユーザAUが管理する認証用情報を取得したか否かを判定してもよいし、第1ユーザRUと所定の関連性を有する利用者として予め登録された第2ユーザAUが管理する認証用情報を取得したか否かを判定してもよい。
【0051】
別の観点では、判定部134は、利用者が入力した情報を用いずに利用者に関する情報を検知する検知装置が検知した情報を用いて利用者のアカウントの認証を行うウェブサービスにおけるアカウントの再認証の対象となる第1ユーザRUが利用する第1端末装置10から、認証用情報を取得したか否かを判定するともいえる。
【0052】
再認証部135は、第1端末装置10から、第2ユーザAUが管理する認証用情報を取得したと判定された場合は、第1ユーザRUのアカウントを再認証する。
【0053】
【0054】
図4に示すように、再認証装置100は、再認証要求を受け付けたか判定する(ステップS101)。例えば、制御部130は、通信部110を介して、アカウントを失効した第1ユーザRUの第1端末装置10からアカウントのリカバリを要求するリカバリ要求を受け付けた場合に、再認証要求を受け付けたと判定する。再認証装置100は、再認証要求を受け付けたと判定していない場合(ステップS101でNo)、再認証要求を受け付けたと判定するまで現在の処理を継続する(ステップS101に戻る)。
【0055】
再認証装置100は、再認証要求を受け付けたと判定した場合(ステップS101でYes)、要求者と対応する認証者に対して、認証用情報を送信する(ステップS102)。例えば、推定部131は、第1ユーザRUの第1端末装置10から再認証要求を受け付けた場合、所定のウェブサービスの利用履歴に基づいて、第1ユーザRUと所定の関連性を有する第2ユーザAUを推定する。提供部132は、第2ユーザAUの第2端末装置20に対して、第2ユーザAU自身の認証要求を行うとともに、第1のサービスにログインするために用いられる認証用情報を提供する。
【0056】
再認証装置100は、要求者から認証用情報を受け付けたか否かを判定する(ステップS103)。例えば、取得部133は、通信部110を介して、第1端末装置10から、第1端末装置10が第2端末装置20から取得した認証用情報を取得する。取得部133は、第1ユーザRUの第1端末装置10から認証用情報を受け付けた場合に、要求者から認証用情報を受け付けたと判定する。再認証装置100は、要求者から認証用情報を受け付けたと判定していない場合(ステップS103でNo)、要求者から認証用情報を受け付けたと判定するまで現在の処理を継続する(ステップS103に戻る)。
【0057】
再認証装置100は、要求者から認証用情報を受け付けたと判定した場合(ステップS103でYes)、要求者の再認証を行う(ステップS104)。例えば、再認証部135は、第1端末装置10が第2端末装置20から取得した認証用情報を受け付けたと判定された場合には、第1ユーザRUのアカウントを再認証する。
【0058】
(変形例)
上述した再認証装置100によるリカバリ処理は、上記実施形態以外にも種々の異なる形態にて実施されてよい。そこで、以下では、再認証装置100やリカバリ処理に関する変形例について説明する。
上述した再認証装置100によるリカバリ処理は、上記実施形態以外にも種々の異なる形態にて実施されてよい。そこで、以下では、再認証装置100やリカバリ処理に関する変形例について説明する。
【0059】
〔4.変形例1:コンテキスト情報の利用〕
まず、図示は省略するが、変形例1として、認証用情報とともに、コンテキスト情報を利用する形態について説明する。コンテキスト情報とは、その端末装置がおかれている状況や環境等を示す情報である。コンテキスト情報は、例えば時間、位置、温度、湿度等を含む。また、コンテキスト情報は、端末装置のデバイス情報や構成情報、無線LAN(Local Area Network)の認証情報やSSID(Service Set Identifier)等でもよい。複数の端末装置から、同一又は類似のコンテキスト情報を取得すれば、それらが同一の場所又は近傍に存在することが分かる。
まず、図示は省略するが、変形例1として、認証用情報とともに、コンテキスト情報を利用する形態について説明する。コンテキスト情報とは、その端末装置がおかれている状況や環境等を示す情報である。コンテキスト情報は、例えば時間、位置、温度、湿度等を含む。また、コンテキスト情報は、端末装置のデバイス情報や構成情報、無線LAN(Local Area Network)の認証情報やSSID(Service Set Identifier)等でもよい。複数の端末装置から、同一又は類似のコンテキスト情報を取得すれば、それらが同一の場所又は近傍に存在することが分かる。
【0060】
取得部133は、第1端末装置10が他の端末装置から認証用情報を取得した際における1端末装置のコンテキストを示す第1コンテキスト情報と、第2端末装置20から、第2端末装置20が他の端末装置に認証用情報を提供した際における第2端末装置20のコンテキストを示す第2コンテキスト情報とをさらに取得する。
【0061】
例えば、取得部133は、第1コンテキスト情報として、第1端末装置10が他の端末装置から認証用情報を取得した「日時」を示す情報を取得すると共に、第2コンテキスト情報として、第2端末装置20が他の端末装置に認証用情報を提供した日時を示す情報を取得する。これにより、再認証装置100は、第1ユーザRUの第1端末装置10が認証用情報を取得した時期と、第2ユーザAUの第2端末装置20が認証用情報を提供した時期とが一致または近いことがわかるようになる。第2端末装置20が二次元バーコードや近距離無線通信(NFC)を利用して認証用情報を提供する場合には、第1ユーザRUの第1端末装置10と第2ユーザAUの第2端末装置20とが同じ場所または近傍に存在することがわかる。その結果、認証の信用度がさらに向上する。
【0062】
あるいは、取得部133は、第1コンテキスト情報として、第1端末装置10が他の端末装置から認証用情報を取得した「位置」を示す情報を取得すると共に、第2コンテキスト情報として、第2端末装置20が他の端末装置に認証用情報を提供した位置を示す情報を取得する。これにより、再認証装置100は、第1ユーザRUの第1端末装置10と第2ユーザAUの第2端末装置20とが同じ場所または近傍に存在することがわかるようになる。その結果、認証の信用度がさらに向上する。
【0063】
判定部134は、第1端末装置10から、第2端末装置20に対して提供された認証用情報を取得し、かつ、第1コンテキスト情報と第2コンテキスト情報とが対応するか否かを判定する。
【0064】
再認証部135は、第1端末装置10から、第2端末装置20に対して提供された認証用情報を取得し、かつ、第1コンテキスト情報と第2コンテキスト情報とが対応すると判定された場合は、第1ユーザRUのアカウントを再認証する。
【0065】
〔5.変形例2:複数の認証用情報の利用〕
また、図示は省略するが、変形例2として、複数の認証用情報を利用する形態について説明する。
また、図示は省略するが、変形例2として、複数の認証用情報を利用する形態について説明する。
【0066】
判定部134は、第1端末装置10から、第1ユーザRUとは異なる利用者であって、アカウントが認証済みの複数の第2ユーザAUがそれぞれ個別に管理する複数の認証用情報を取得したか否かを判定する。このとき、判定部134は、第1端末装置10から、第1ユーザRUとは異なる利用者であって、アカウントが認証済みの複数の第2ユーザAUがそれぞれ個別に管理する複数の認証用情報を、「所定の順番」で取得したか否かを判定するようにしてもよい。
【0067】
再認証部135は、第1端末装置10から、複数の認証用情報を取得したと判定された場合は、第1ユーザRUのアカウントを再認証する。このとき、再認証部135は、第1端末装置10から、複数の認証用情報を「所定の順番」で取得したと判定された場合は、第1ユーザRUのアカウントを再認証するようにしてもよい。
【0068】
(第2実施形態)
次に、第2実施形態について説明する。上述してきた第1実施形態では、第1ユーザのアカウント失効時において、第1ユーザと所定の関連性(関係)を有する第2ユーザに、第1ユーザのアカウントのリカバリ承認要求を行うリカバリ処理の一例を説明した。第2実施形態では、第1ユーザの端末装置時および新規端末購入時に、第1ユーザと第2ユーザとの共有端末を用いて、第1ユーザのアカウントの再認証を行うリカバリ処理の例を示す。
次に、第2実施形態について説明する。上述してきた第1実施形態では、第1ユーザのアカウント失効時において、第1ユーザと所定の関連性(関係)を有する第2ユーザに、第1ユーザのアカウントのリカバリ承認要求を行うリカバリ処理の一例を説明した。第2実施形態では、第1ユーザの端末装置時および新規端末購入時に、第1ユーザと第2ユーザとの共有端末を用いて、第1ユーザのアカウントの再認証を行うリカバリ処理の例を示す。
【0069】
〔6.アカウントのリカバリ処理〕
まず、図5を用いて、第2実施形態に係る再認証プログラムにより実現されるアカウントのリカバリ処理の一例について説明する。図5は、第2実施形態に係るアカウントのリカバリ処理の一例を示す図である。図5では、第1ユーザの端末紛失時および新規端末購入時に、第1ユーザと第2ユーザとの共有端末を用いて、第1ユーザのアカウントの再認証を行うリカバリ処理(アカウントの手続きの一例)を説明する。
まず、図5を用いて、第2実施形態に係る再認証プログラムにより実現されるアカウントのリカバリ処理の一例について説明する。図5は、第2実施形態に係るアカウントのリカバリ処理の一例を示す図である。図5では、第1ユーザの端末紛失時および新規端末購入時に、第1ユーザと第2ユーザとの共有端末を用いて、第1ユーザのアカウントの再認証を行うリカバリ処理(アカウントの手続きの一例)を説明する。
【0070】
図5に示す第1端末装置10、第2端末装置20、第3端末装置30および第4端末装置40は、デバイスとしては、第1実施形態で説明した第1端末装置10および第2端末装置20と同様である。第2実施形態では、第1端末装置10および第3端末装置30の利用者を第1ユーザRUとする。第2端末装置20の利用者を第2ユーザAUとする。第4端末装置40は、第1ユーザRUおよび第2ユーザAUのいずれも利用可能な共有デバイス(Shared Device)である。
【0071】
また、図5に示す再認証装置100aは、第1実施形態で説明した再認証装置100に対応し、第1端末装置10、第2端末装置20、第3端末装置30および第4端末装置40からアクセス可能なサーバ装置であり、第1端末装置10、第2端末装置20、第3端末装置30および第4端末装置40の各利用者に、アカウントでのログインを要する所定のウェブサービスを提供する。第2実施形態では、再認証装置100aは、上記ウェブサービスとして、少なくとも第1のサービスを提供する。また、再認証装置100aは、各利用者のアカウントを管理しており、アカウントのリカバリを要求するリカバリ要求に応じて、アカウントのリカバリ処理を行う。
【0072】
図5に示すように、まず、第1ユーザRUの第1端末装置10は、第4端末装置40に対して、要求者の認証を行うための認証用情報と、他者を認証するための他者認証情報とを登録する(ステップS1)。
【0073】
また、第2ユーザAUの第2端末装置20は、第4端末装置40に対して、認証者の認証を行うための認証用情報と、他者を認証するための他者認証情報とを登録する(ステップS2)。
【0074】
第4端末装置40は、再認証装置100aに対して、各利用者の認証用情報と他者認証情報とを登録する(ステップS3)。すなわち、第4端末装置40は、第1ユーザRUの第1端末装置10と第2ユーザAUの第2端末装置20とのそれぞれから登録された認証用情報と他者認証情報とを再認証装置100aに登録する。
【0075】
第1ユーザRUは、第1端末装置10を紛失した後、新たに第3端末装置30を購入した場合、第3端末装置30を操作して、第4端末装置40に対して要求者の認証を行う(ステップS4)。これにより、第4端末装置40は、アカウントのリカバリ要求の要求者である第1ユーザRUの認証を行う。なお、第1端末装置10の紛失には、第1端末装置10の故障や廃棄等も含まれる。
【0076】
第4端末装置40は、要求者である第1ユーザRUの認証の結果、第1ユーザRUの第3端末装置30に対して、第1ユーザRUに対する認証者の他者認証情報を提供する(ステップS5)。
【0077】
第1ユーザRUの第3端末装置30は、再認証装置100aに対して、要求者の認証用情報と、認証者の他者認証情報を送信する(ステップS6)。
【0078】
再認証装置100aは、認証用情報と他者認証情報とを用いて、要求者の再認証を行う(ステップS7)。
【0079】
再認証装置100aは、第1ユーザRUの第3端末装置30に対して、要求者の再認証を行う(ステップS8)。これにより、再認証装置100は、第1ユーザRUの第3端末装置30を承認し、アカウントをリカバリする。なお、再認証装置100aは、複数の他者認証情報を取得し、取得した各他者認証情報と認証情報とが対応する場合に、アカウントリカバリを行ってもよい。
【0080】
〔7.再認証装置の構成〕
次に、図6を用いて、第1実施形態に係る再認証装置100aの構成について説明する。図6は、第1実施形態に係る再認証装置100aの構成例を示す図である。図6に示すように、再認証装置100aは、通信部110と、記憶部120と、制御部130とを有する。なお、再認証装置100aは、再認証装置100aを利用する管理者等から各種操作を受け付ける入力部(例えば、キーボードやマウス等)や、各種情報を表示するための表示部(例えば、液晶ディスプレイ等)を有してもよい。
次に、図6を用いて、第1実施形態に係る再認証装置100aの構成について説明する。図6は、第1実施形態に係る再認証装置100aの構成例を示す図である。図6に示すように、再認証装置100aは、通信部110と、記憶部120と、制御部130とを有する。なお、再認証装置100aは、再認証装置100aを利用する管理者等から各種操作を受け付ける入力部(例えば、キーボードやマウス等)や、各種情報を表示するための表示部(例えば、液晶ディスプレイ等)を有してもよい。
【0081】
通信部110と、記憶部120と、制御部130については、基本的に、第1実施形態で説明した通りである。なお、記憶部120は、第1実施形態で説明した認証データベース121の代わりに、認証データベース121aを有する。
【0082】
(認証データベース121aについて)
認証データベース121aは、第1のサービスに関する情報を記憶する。ここで、図7に、第2実施形態に係る認証データベース121aの一例を示す。図7は、第2実施形態に係る認証データベース121aの一例を示す図である。図7に示した例では、認証データベース121aは、「アカウントID」、「登録デバイスID」、「登録ユーザ」、「ユーザID」、「認証用情報」、「認証者ID」、「他者認証情報」、「第1サービス行動履歴」といった項目を有する。また、第1サービス行動履歴は、「利用ログID」、「行動履歴」、「行動日時」、「位置情報」といった小項目を有する。
認証データベース121aは、第1のサービスに関する情報を記憶する。ここで、図7に、第2実施形態に係る認証データベース121aの一例を示す。図7は、第2実施形態に係る認証データベース121aの一例を示す図である。図7に示した例では、認証データベース121aは、「アカウントID」、「登録デバイスID」、「登録ユーザ」、「ユーザID」、「認証用情報」、「認証者ID」、「他者認証情報」、「第1サービス行動履歴」といった項目を有する。また、第1サービス行動履歴は、「利用ログID」、「行動履歴」、「行動日時」、「位置情報」といった小項目を有する。
【0083】
認証データベース121aの項目のうち、「他者認証情報」以外の「アカウントID」、「登録デバイスID」、「登録ユーザ」、「ユーザID」、「認証用情報」、「認証者ID」および「第1サービス行動履歴」については、第1実施形態において説明した通りである。
【0084】
「他者認証情報」は、他者を識別するために用いられる識別情報である。より具体的には、他者認証情報は、対応付けられたユーザIDが示す利用者のアカウントリカバリを行うための情報であって、対応付けられたユーザIDが示す利用者とは異なる利用者により、各ユーザが共用する共用端末に登録される情報である。なお、3人以上の利用者が存在する場合、認証データベース121aには、1つのユーザIDに対して複数の利用者の他者認証情報が対応付けて登録されていてもよい。図7に示した例では、他者認証情報は、他者のアカウントIDであるものとする。第2実施形態では、制御部130は、第1ユーザRUの第1端末装置10と第2ユーザAUの第2端末装置20とのそれぞれから登録された他者認証情報を認証データベース121aに登録する。
【0085】
(制御部130について)
図6に示すように、制御部130は、推定部131と、提供部132と、取得部133と、判定部134aと、再認証部135とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部130の内部構成は、図6に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、制御部130が有する各処理部の接続関係は、図6に示した接続関係に限られず、他の接続関係であってもよい。
図6に示すように、制御部130は、推定部131と、提供部132と、取得部133と、判定部134aと、再認証部135とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部130の内部構成は、図6に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、制御部130が有する各処理部の接続関係は、図6に示した接続関係に限られず、他の接続関係であってもよい。
【0086】
推定部131、提供部132、取得部133および再認証部135については、基本的に、第1実施形態で説明した通りである。
【0087】
判定部134aは、第2ユーザAUが管理する認証用情報であって、第2ユーザAUがアカウントの認証を受けるための情報とは個別に管理する情報を取得したか否かを判定する。第2実施形態では、判定部134aは、第2ユーザAUがアカウントの認証を受けるための認証用情報とは個別に管理する他者認証情報を取得したか否かを判定する。
【0088】
例えば、判定部134aは、第1ユーザRUが管理する認証用情報であって第2ユーザAUがアカウントの再認証を受けるための第1認証用情報と、第2ユーザAUが管理する認証用情報であって、第1ユーザRUがアカウントの再認証を受けるための第2認証用情報とを管理する所定の端末装置から第1端末装置10が取得した第2認証用情報を取得したか否かを判定する。
【0089】
【0090】
図8に示すように、再認証装置100aは、認証用情報と他者認証情報とを受け付けたか否かを判定する(ステップS201)。例えば、制御部130は、通信部110を介して、第1ユーザRUの第1端末装置10と第2ユーザAUの第2端末装置20とのそれぞれから認証用情報と他者認証情報とを受け付ける。
【0091】
再認証装置100aは、認証用情報と他者認証情報とを受け付けたと判定した場合(ステップS201でYes)、認証用情報と他者認証情報とを対応付けて認証データベース121aに登録する(ステップS202)。再認証装置100aは、認証用情報と他者認証情報とを受け付けたと判定していない場合(ステップS201でNo)、当該処理を行わない(ステップS201からステップS203に移行)。なお、同一の認証用情報と他者認証情報との組については、認証データベース121aへの登録は一度(初回のみ)行えば十分である。
【0092】
再認証装置100aは、要求者から認証用情報と他者認証情報とを受け付けたか否かを判定する(ステップS203)。再認証装置100aは、要求者から認証用情報を受け付けたと判定していない場合(ステップS203でNo)、要求者から認証用情報を受け付けたと判定するまで現在の処理を継続する(ステップS203に戻る)。
【0093】
再認証装置100aは、要求者から認証用情報と他者認証情報とを受け付けたと判定した場合(ステップS203でYes)、要求者と対応する認証者の他者認証情報を特定する(ステップS204)。
【0094】
再認証装置100aは、特定した他者認証情報と受け付けた他者認証情報とが対応し、かつ、要求者の認証用情報が登録された認証用情報と対応するか否かを判定する(ステップS205)。
【0095】
再認証装置100aは、特定した他者認証情報と受け付けた他者認証情報とが対応し、かつ、要求者の認証用情報が登録された認証用情報と対応すると判定した場合(ステップS205でYes)、要求者を再認証する(ステップS206)。
【0096】
再認証装置100aは、特定した他者認証情報と受け付けた他者認証情報とが対応し、かつ、要求者の認証用情報が登録された認証用情報と対応すると判定しなかった場合(ステップS205でNo)、要求者を再認証しない(ステップS207)。
【0097】
〔9.ハードウェア構成〕
上述した実施形態における第1端末装置10、第2端末装置20、第3端末装置30、第4端末装置40、再認証装置100および再認証装置100aは、それぞれ例えば図9に示すような構成のコンピュータ200がプログラムを実行することによって実現される。
上述した実施形態における第1端末装置10、第2端末装置20、第3端末装置30、第4端末装置40、再認証装置100および再認証装置100aは、それぞれ例えば図9に示すような構成のコンピュータ200がプログラムを実行することによって実現される。
【0098】
図9は、プログラムを実行するコンピュータのハードウェア構成の一例を示す図である。コンピュータ200は、CPU(Central Processing Unit)201、RAM202(Random Access Memory)、ROM(Read Only Memory)203、HDD(Hard Disk Drive)204、通信インターフェイス(I/F)205、入出力インターフェイス(I/F)206、およびメディアインターフェイス(I/F)207を備える。
【0099】
CPU201は、ROM203またはHDD204に格納されたプログラムに基づいて動作し、各部の制御を行う。ROM203は、コンピュータ200の起動時にCPU201によって実行されるブートプログラムや、コンピュータ200のハードウェアに依存するプログラム等を格納する。
【0100】
HDD204は、CPU201によって実行されるプログラムによって使用されるデータ等を格納する。通信インターフェイス205は、通信部110に対応し、ネットワークNを介して他の機器からデータを受信してCPU201へ送り、CPU201が生成したデータを、ネットワークNを介して他の機器へ送信する。
【0101】
CPU201は、入出力インターフェイス206を介して、ディスプレイやプリンタ等の出力装置、および、キーボードやマウス等の入力装置を制御する。CPU201は、入出力インターフェイス206を介して、入力装置からデータを取得する。また、CPU201は、生成したデータを、入出力インターフェイス206を介して出力装置へ出力する。
【0102】
メディアインターフェイス207は、記録媒体208に格納されたプログラムまたはデータを読み取り、RAM202を介してCPU201に提供する。CPU201は、当該プログラムを、メディアインターフェイス207を介して記録媒体208からRAM202上にロードし、ロードしたプログラムを実行する。記録媒体208は、例えばDVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等である。
【0103】
コンピュータ200が再認証装置100として機能する場合、コンピュータ200のCPU201は、RAM202上にロードされたプログラムを実行することにより、図2に示す推定部131、提供部132、取得部133、判定部134および再認証部135の各機能を実現する。なお、推定部131、提供部132、取得部133、判定部134および再認証部135は、それぞれ一部または全部がASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等のハードウェアで構成されてもよい。
【0104】
また、コンピュータ200が再認証装置100aとして機能する場合、コンピュータ200のCPU201は、RAM202上にロードされたプログラムを実行することにより、図5に示す推定部131、提供部132、取得部133、判定部134aおよび再認証部135の各機能を実現する。なお、推定部131、提供部132、取得部133、判定部134aおよび再認証部135は、それぞれ一部または全部がASICやFPGA等のハードウェアで構成されてもよい。
【0105】
また、コンピュータ200が第1端末装置10、第2端末装置20、第3端末装置30および第4端末装置40の各々として機能する場合、コンピュータ200のCPU301は、RAM302上にロードされたプログラムを実行することにより、第1端末装置10、第2端末装置20、第3端末装置30および第4端末装置40の各々の各機能を実現する。
【0106】
コンピュータ200のCPU201は、再認証プログラムを、記録媒体208から読み取って実行するが、他の例として、他の装置から、ネットワークNを介してこれらのプログラムを取得してもよい。
【0107】
なお、HDD204は、記憶部120に対応し、記憶部120と同様のデータを記憶する。また、HDD204に代えて、RAM(Random Access Memory)、フラッシュメモリ等の半導体メモリ素子、SSD(Solid State Drive)、または、光ディスク等の記憶装置を用いてもよい。
【0108】
〔10.効果〕
上述してきたように、実施形態に係る再認証装置100は、判定部134と、再認証部135とを有する。判定部134は、所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者(第1ユーザRU)が利用する第1端末装置10から、当該第1利用者とは異なる利用者であって、当該アカウントが認証済みの第2利用者(第2ユーザAU)が管理する認証用情報を取得したか否かを判定する。再認証部135は、当該第1端末装置10から、当該第2利用者が管理する認証用情報を取得したと判定された場合は、当該第1利用者のアカウントを再認証する。これにより、信頼を用いたリカバリを行うサーバを実現し、アカウントリカバリの利便性を改善することができる。
上述してきたように、実施形態に係る再認証装置100は、判定部134と、再認証部135とを有する。判定部134は、所定のウェブサービスを受けるためのアカウントの再認証の対象となる第1利用者(第1ユーザRU)が利用する第1端末装置10から、当該第1利用者とは異なる利用者であって、当該アカウントが認証済みの第2利用者(第2ユーザAU)が管理する認証用情報を取得したか否かを判定する。再認証部135は、当該第1端末装置10から、当該第2利用者が管理する認証用情報を取得したと判定された場合は、当該第1利用者のアカウントを再認証する。これにより、信頼を用いたリカバリを行うサーバを実現し、アカウントリカバリの利便性を改善することができる。
【0109】
判定部134は、当該第1利用者と所定の関連性を有する第2利用者が管理する認証用情報を取得したか否かを判定する。これにより、利用者同士の関連性を考慮してリカバリを行うことができる。
【0110】
また、実施形態に係る再認証装置100は、さらに推定部131を有する。推定部131は、当該所定のウェブサービスの利用履歴に基づいて、当該第1利用者と所定の関連性を有する第2利用者を推定する。判定部134は、当該第1利用者と所定の関連性を有すると推定された第2利用者が管理する認証用情報を取得したか否かを判定する。これにより、ウェブサービスの利用履歴から利用者同士の関連性を推定することができる。
【0111】
判定部134は、当該第1利用者と所定の関連性を有する利用者として予め登録された第2利用者が管理する認証用情報を取得したか否かを判定する。これにより、所定の関連性を有する利用者を予め登録しておくことに対応することができる。
【0112】
判定部134は、利用者が入力した情報を用いずに当該利用者に関する情報を検知する検知装置が検知した情報を用いて当該利用者のアカウントの認証を行うウェブサービスにおけるアカウントの再認証の対象となる第1利用者が利用する第1端末装置10から、当該認証用情報を取得したか否かを判定する。これにより、例えばFIDO認証による再認証を行った後の第1端末装置10から認証用情報を取得したことを確認できるようになる。
【0113】
また、実施形態に係る再認証装置100は、さらに提供部132と、取得部133とを有する。提供部132は、当該第1端末装置10から当該アカウントの再認証の要求を受け付けた場合は、当該第2利用者が利用する第2端末装置20に対し、当該認証用情報を提供する。取得部133は、当該第1端末装置10から、当該第1端末装置10が他の端末装置から取得した認証用情報を取得する。判定部134は、当該第1端末装置10から、当該第2端末装置20に対して提供された認証用情報を取得したか否かを判定する。これにより、具体的にアカウントのリカバリ処理を実現することができる。
【0114】
取得部133は、当該第1端末装置10が他の端末装置から当該認証用情報を取得した際における当該1端末装置のコンテキストを示す第1コンテキスト情報と、当該第2端末装置20から、当該第2端末装置20が他の端末装置に当該認証用情報を提供した際における当該第2端末装置20のコンテキストを示す第2コンテキスト情報とをさらに取得する。判定部134は、当該第1端末装置10から、当該第2端末装置20に対して提供された認証用情報を取得し、かつ、当該第1コンテキスト情報と当該第2コンテキスト情報とが対応するか否かを判定する。再認証部135は、当該第1端末装置10から、当該第2端末装置20に対して提供された認証用情報を取得し、かつ、当該第1コンテキスト情報と当該第2コンテキスト情報とが対応すると判定された場合は、当該第1利用者のアカウントを再認証する。これにより、コンテキストの共通性を考慮したアカウントのリカバリ処理を行うことができる。
【0115】
取得部133は、第1コンテキスト情報として、当該第1端末装置10が他の端末装置から当該認証用情報を取得した日時を示す情報を取得すると共に、当該第2コンテキスト情報として、当該第2端末装置20が他の端末装置に当該認証用情報を提供した日時を示す情報を取得する。これにより、コンテキストとして時間を考慮したアカウントのリカバリ処理を行うことができる。
【0116】
取得部133は、第1コンテキスト情報として、当該第1端末装置10が他の端末装置から当該認証用情報を取得した位置を示す情報を取得すると共に、当該第2コンテキスト情報として、当該第2端末装置20が他の端末装置に当該認証用情報を提供した位置を示す情報を取得する。これにより、コンテキストとして位置を考慮したアカウントのリカバリ処理を行うことができる。
【0117】
判定部134は、当該第2利用者が管理する認証用情報であって、当該第2利用者が当該アカウントの認証を受けるための情報とは個別に管理する情報を取得したか否かを判定する。これにより、自己の認証のための情報とは別に他者の認証のための情報を登録し、例えば共有デバイス等を利用してアカウントのリカバリ処理を行うことができる。
【0118】
判定部134は、当該第1利用者が管理する認証用情報であって当該第2利用者が当該アカウントの再認証を受けるための第1認証用情報と、当該第2利用者が管理する認証用情報であって、第1利用者が当該アカウントの再認証を受けるための第2認証用情報とを管理する所定の端末装置から当該第1端末装置10が取得した第2認証用情報を取得したか否かを判定する。これにより、例えば共有デバイス等を利用してアカウントのリカバリ処理を行うことができる。
【0119】
判定部134は、当該第1端末装置10から、当該第1利用者とは異なる利用者であって、当該アカウントが認証済みの複数の第2利用者がそれぞれ個別に管理する複数の認証用情報を取得したか否かを判定する。再認証部135は、当該第1端末装置10から、当該複数の認証用情報を取得したと判定された場合は、当該第1利用者のアカウントを再認証する。これにより、複数の認証者による認証を行うことができる。
【0120】
判定部134は、当該第1端末装置10から、当該第1利用者とは異なる利用者であって、当該アカウントが認証済みの複数の第2利用者がそれぞれ個別に管理する複数の認証用情報を、所定の順番で取得したか否かを判定する。再認証部135は、当該第1端末装置10から、当該複数の認証用情報を所定の順番で取得したと判定された場合は、当該第1利用者のアカウントを再認証する。これにより、複数の認証者による認証を行う際に、認証用情報の順番を考慮して認証を行うことができる。
【0121】
以上、本願の実施形態のいくつかを図面に基づいて詳細に説明したが、これらは例示であり、発明の開示の欄に記載の態様を始めとして、当業者の知識に基づいて種々の変形、改良を施した他の形態で本発明を実施することが可能である。
【0122】
また、上記してきた「部(section、module、unit)」は、「手段」や「回路」などに読み替えることができる。例えば、推定部は、推定手段や推定回路に読み替えることができる。
【符号の説明】
【0123】
10 第1端末装置
20 第2端末装置
30 第3端末装置
40 第4端末装置
100、100a 再認証装置
110 通信部
120 記憶部
121、121a 認証データベース
130 制御部
131 推定部
132 提供部
133 取得部
134、134a 判定部
135 再認証部
20 第2端末装置
30 第3端末装置
40 第4端末装置
100、100a 再認証装置
110 通信部
120 記憶部
121、121a 認証データベース
130 制御部
131 推定部
132 提供部
133 取得部
134、134a 判定部
135 再認証部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】