バイオメトリクス認証
バイオメトリクス認証って?
少し前、レイクウッドゴルフクラブで起こったスキミング事件 をきっかけに銀行のキャッシュカードのセキュリティ強化が注目を集めています。スルガ銀行や東京三菱銀行 では今秋から手のひらの静脈認証機能をもつATMを導入する予定です。三井住友も指の静脈認証の導入を発表しました 。このように体の一部の特徴を使って本人確認をする方法をバイオメトリクス認証といいます。バイオメトリクス認証は本人確認の切り札として注目されています。バイオメトリクス認証のよいところはパスワードに比べはるかに不正使用されにくいセキュリティの高さです。しかもパスワードのように覚える必要がないのでユーザにとっても利便性が高まります。
どんなのがあるか?
バイオメトリクス認証には次のような種類があります。このほかに声紋や筆跡というのも含められることがあるのですが、これらは身体の特徴というより動作の特徴なのでここでは別に考えます。・指紋
・顔
・網膜パターン
・虹彩パターン
・静脈パターン
・DNA
一番お手軽なのは指紋ですね。これはすでに携帯やパソコンにも標準装備されている機種があり、後付でも比較的安価なのでシステムへのログイン認証に追加されたりしていて実績も豊富です。しかし、指紋を採るという行為が犯罪者扱いされているようだという心理的抵抗感があるため、銀行各社は採用しなかったようです。それに、指紋は他人に比較的採取されやすく、そのうちあまりコストをかけなくても偽造できるようになるのではないかと思われます。また、指先がすり減ったり怪我すると認証できないという欠点もあります。
顔は人相のことなのですが、これは人相という比較的大雑把なものを扱うので認証精度を高めるのが大変なようです。また他の認証に比べ経年変化する可能性が一番のもいただけません。経年変化というのは平たく言えば、太ったりやせたり、しわが増えたりすることです。他人に成りすまされることについては強度が高いですが、本人が本人として認識されなくなる本人拒否が起こる可能性が比較的高い認証方式であるようです。
網膜パターンは目の奥の網膜の毛細血管の形で認証する方式ですが、重要な施設への入り口などで採用されているようです。しかし、赤外線を使うため、外光が入らないように入力装置に目の部分を押し当てねばならず、不特定多数の人々と共用するには衛生的に問題がありそうです。まあ、そんな問題はいずれ洗浄装置内臓とかで解決しそうです。でもそこまでしてこれを採用する場所はやはり重要施設だけのように思います。
虹彩パターンは認証は映画「マイノリティリポート」 でも出てきましたね。主人公が敵に発見されるのを防ぐために目を移植で取り替えるシーンは結構印象深いシーンです。でも現状の技術では目を取り替えるなんてことをしなくてもかなりの確率で成りすますことができるようです。赤外線写真で目を写して、それで認証装置をだませるようです。新聞で報道されたためメーカーの沖電気が反論しています 。
静脈パターンは銀行各社が導入を進めようとしています。どうやら、手のひらを使うところと指を使うところに分かれそうです。いずれにしても利用者は決められた場所に手をかざすだけでいいので、顔や虹彩のように顔をカメラで取られたりすることもなく、心理的な障壁が一番少ないようです。指紋のようにコップやドアノブ等から採取することもできませんしね。銀行各社に導入が広がれば指紋に次いでポピュラーな認証方式になりそうです。
DNAは究極のバイオメトリクス情報ですが、たかが建物に入ったり、自分の預金を引き出すために毎回DNA解析されるのはコスト問題が解決しても抵抗ありますね。一般には普及しないでしょう。
バイオメトリクス認証の問題点
もうすこし技術の成熟を待たねばならない段階だということ以外にもバイオメトリクス認証には問題低があります。パスワードは破られても、変更することが可能です。しかし、バイオメトリクス認証で用いる身体データは変更することができません(整形とか、眼球の移植とかすれば別ですが)。ですから、その情報の取り扱いについて認証するためには必ず身体データを保管する必要がありますから今後、情報システムは更に重い責任を背負うことになっていくと思われます。データさえ手に入ればきっと何らかの手段で認証システムをだます技術も発達し、きっと破られることになります。ですから、第3者機関によるバイオメトリクス認証システムの破られにくさの評価と身体データを盗まれないようにシステムが構築・運用されているかの評価が重要になると思います。また、本当に重要なところにしか身体データを取らせないというユーザ側の意識も重要だと思います。西麻布のとある会員制高級バーでは虹彩パターンによる会員の認証を行っているようですが、バーのPCが盗まれたら銀行から何からみんな破られたってことになったら痛すぎますからね。バーのウリとして娯楽の範疇のうちはいいですけど、虹彩パターン認証が普及しちゃうと怖いですね。結局、複数のシステムで同じ方式のバイオメトリクス認証を使うということは複数のシステムに同じパスワードを使っているようなものなのでそういった危険性も出てきます。現実的にはやはりパスワードとの併用になっていくんですかね。
近未来の空想
個人的には、単なる会員認証のような場面では顔(人相)認証、銀行とか商取引とか個人の財産に影響する場面では静脈認証、重要施設への立ち入りにはそれらに加えて虹彩か網膜パターン認証がいいなぁと思います。なぜなら、今後ほんとにロボットが人間の生活に入り込んでくるような世界が来るとして、そのときロボットにわざわざ静脈を見せたりしないと通してくれないより、顔をみて「おはようございます。さあどうぞ」ってな具合にコミュニケーションしたいものです。しかし、顔は情報として表にさらしているので、そんな世界では偽造されそうです。だからお金を扱う場面では他人に知られにくく、手軽に使えそうな手の静脈認証を、他の人々の安全にかかわるような重要施設に入る際には更に知られにくい虹彩/網膜パターンを組み合わせるといいのではと思うのです。まあ、そんな世の中、まだまだSFですね。いずれにせよ、認証方式の原理的な偽造の難しさと守るべきものの重要性をきちんと考えて導入するガイドラインを整備していく必要があると思います。
参考サイト:
NRI 野村総合研究所 情報技術本部 【新技術一口メモ】注目されるバイオメトリクス認証
@IT 特集 バイオメトリクスカタログ(前後編)