Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

話題の生体認証(バイオメトリクス)を考える

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/10/29号)」に掲載されたものです

セキュリティが厳しく問われる今日、生体認証が注目を集めている。大がかりな認証装置はもちろん、USBメモリや携帯端末など安価なものも増えてきた。PCの世界では、指紋認証を富士通がいち早く搭載したが、つい数日前にもPC界の巨人IBMが人気ノートPCシリーズ「ThinkPad」に搭載し、出荷を開始した。

パスワードを運用するにあたり、もっとも大変なことが他人から予想されにくく、さらに自分でも忘れにくいパスワードを用意することだ。その点、生体認証は使ってみると確かに便利だ。複雑なパスワードを覚える必要がない。

便利な側面がある一方、デメリットも

しかし、生体認証が万能かといえば、決してそうとはいえない。第一の問題は、生体認証における「正確さ」の問題だ。

認証する際に、登録しているデータと認証を求めるデータの間で、どの程度の一致をもって「認証」とするか、という問題だ。その設定を厳しくすれば、同一人物であっても認証が難しくなることがあり得る。一方、ある程度の特徴をもって認証とするのであれば、似ている特徴を持った人間まで認証されてしまう。

正確性と可用性のバランスは、製品によってまちまちで基準がない。指紋であれば「特徴点」を用いるのが一般的だが、独自の認識方法により、誤認識の確率を下げた製品なども登場している。とはいえ、安全性を100%保証することは不可能だ。統計的なテストは行えるものの、すべてのケースにおいてテストを実施することは不可能だからだ。

次に第二の問題として、認証に用いる部分をケガしてしまった場合や、当人が何らかの理由で認証できないケースにどのように対処するかだ。また、体が不自由な方もおり、サービスそのものが利用できない場合もある。

指紋など、複数の指で認証をとるのもひとつの手だ。しかし、すべての指に火傷を負ってしまった場合など、どうだろう。レアケースかもしれないが、可能性がないわけではない。また、当人が急遽亡くなってしまった場合はどうであろうか。「以後、誰もアクセスできない」ということでは困ってしまう。「生体認証だけ」では完結できず、結局はパスワードも用意しなくてはならないのが現実だ。利用者の利便性は向上するものの、従来通りパスワードの管理から逃れることはできない。

一番のネック、それは「生体情報」の管理

第三の問題。生体認証のデータの管理方法だ。もし、管理している生体認証が流出したらどうなるであろうか。これが一番の問題だ。

生体認証に用いられるデータこそ最高レベルの「個人情報」である。もし外部へ流出すれば、大きな問題となるのは必至だ。偽造される可能性もあり、そのデータ自体二度と使えないものとなってしまう。しかも、これらは固有データで、当人が変更ができるものではない。IDや暗証番号のように、再発行ができる代物ではないのだ。

「生体情報そのもの」の管理は完全な安全を確保しなくてはならないので非常に大変だ。一方で、管理するサーバの認証にはパスワードが用いられていることも多々ある。先に挙げた第二の問題同様、生体認証を用いれば、最悪の場合システムにアクセスできなくなる場合もあるし、そもそもコンピュータは「パスワードによる管理」が基本だからだ。

データの管理にあたっては他の認証と同様、管理者の「モラル」という大きな問題も未解決だ。クラッキングなどが行われなくとも、管理者当人が情報を持ち出してしまえば、意味がない。

日々発展する生体認証。技術そのものはかなり成熟してきた。しかし、「管理」という側面ではパスワードと同等のリスクがあるし、漏洩時はパスワードと比較にならない被害が発生するおそれもある。利便性だけにとらわれず、別の角度からリスクを分析する必要が出てきている。

(Security NEXT - 2004/11/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

案内メール誤送信で事業所担当者のメアド流出 - 協会けんぽ
個情委、「LINE」情報漏洩でLINEヤフーに勧告 - 「ヤフオク!」に関する指導も
「Chromium」の深刻な脆弱性、すでに悪用済み - 「MS Edge」も緊急更新
NTTドコモ、スミッシング攻撃の踏み台端末に注意喚起 - 7月上旬から
子会社従業員が有効期限間近のデジタルギフトを不正入手 - デジタルプラス
MS、「Microsoft Edge 103.0.1264.49」を公開 - ゼロデイ脆弱性に対処
「GitLab」にセキュリティアップデート - 脆弱性2件を修正
Cisco、セキュリティアドバイザリ17件を公開
サイバー攻撃で狙われ、悪用される「正規アカウント」
産業制御システムのインシデント対応に必要な機能を解説した手引書