Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

話題の生体認証(バイオメトリクス)を考える

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/10/29号)」に掲載されたものです

セキュリティが厳しく問われる今日、生体認証が注目を集めている。大がかりな認証装置はもちろん、USBメモリや携帯端末など安価なものも増えてきた。PCの世界では、指紋認証を富士通がいち早く搭載したが、つい数日前にもPC界の巨人IBMが人気ノートPCシリーズ「ThinkPad」に搭載し、出荷を開始した。

パスワードを運用するにあたり、もっとも大変なことが他人から予想されにくく、さらに自分でも忘れにくいパスワードを用意することだ。その点、生体認証は使ってみると確かに便利だ。複雑なパスワードを覚える必要がない。

便利な側面がある一方、デメリットも

しかし、生体認証が万能かといえば、決してそうとはいえない。第一の問題は、生体認証における「正確さ」の問題だ。

認証する際に、登録しているデータと認証を求めるデータの間で、どの程度の一致をもって「認証」とするか、という問題だ。その設定を厳しくすれば、同一人物であっても認証が難しくなることがあり得る。一方、ある程度の特徴をもって認証とするのであれば、似ている特徴を持った人間まで認証されてしまう。

正確性と可用性のバランスは、製品によってまちまちで基準がない。指紋であれば「特徴点」を用いるのが一般的だが、独自の認識方法により、誤認識の確率を下げた製品なども登場している。とはいえ、安全性を100%保証することは不可能だ。統計的なテストは行えるものの、すべてのケースにおいてテストを実施することは不可能だからだ。

次に第二の問題として、認証に用いる部分をケガしてしまった場合や、当人が何らかの理由で認証できないケースにどのように対処するかだ。また、体が不自由な方もおり、サービスそのものが利用できない場合もある。

指紋など、複数の指で認証をとるのもひとつの手だ。しかし、すべての指に火傷を負ってしまった場合など、どうだろう。レアケースかもしれないが、可能性がないわけではない。また、当人が急遽亡くなってしまった場合はどうであろうか。「以後、誰もアクセスできない」ということでは困ってしまう。「生体認証だけ」では完結できず、結局はパスワードも用意しなくてはならないのが現実だ。利用者の利便性は向上するものの、従来通りパスワードの管理から逃れることはできない。

一番のネック、それは「生体情報」の管理

第三の問題。生体認証のデータの管理方法だ。もし、管理している生体認証が流出したらどうなるであろうか。これが一番の問題だ。

生体認証に用いられるデータこそ最高レベルの「個人情報」である。もし外部へ流出すれば、大きな問題となるのは必至だ。偽造される可能性もあり、そのデータ自体二度と使えないものとなってしまう。しかも、これらは固有データで、当人が変更ができるものではない。IDや暗証番号のように、再発行ができる代物ではないのだ。

「生体情報そのもの」の管理は完全な安全を確保しなくてはならないので非常に大変だ。一方で、管理するサーバの認証にはパスワードが用いられていることも多々ある。先に挙げた第二の問題同様、生体認証を用いれば、最悪の場合システムにアクセスできなくなる場合もあるし、そもそもコンピュータは「パスワードによる管理」が基本だからだ。

データの管理にあたっては他の認証と同様、管理者の「モラル」という大きな問題も未解決だ。クラッキングなどが行われなくとも、管理者当人が情報を持ち出してしまえば、意味がない。

日々発展する生体認証。技術そのものはかなり成熟してきた。しかし、「管理」という側面ではパスワードと同等のリスクがあるし、漏洩時はパスワードと比較にならない被害が発生するおそれもある。利便性だけにとらわれず、別の角度からリスクを分析する必要が出てきている。

(Security NEXT - 2004/11/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

一部製品のTLS実装に暗号解読される脆弱性、「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響
「SECCON 2017」予選、上位100チームを発表
「SECCON 2017」オンライン予選の登録受付が開始
2016年度のSIEM市場は39.8億円 - 前年度比13.7%増
10月以降、「DreamBot」の感染被害が拡大 - リンク付きメールに注意
MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず