生体認証は、測定可能な人間の特性、特徴、または行動を使用して個人のアイデンティティを確認する手法です。たとえば、顔や指紋は各人に固有で、測定可能であり、法執行機関による個人の特定によく使用されます。
生体認証は、1883年にフランスの犯罪学者アルフォンス・ベルティヨンが初めて身体測定を使用して再犯者を特定して以来、身元確認に使用されてきました。今日、生体認証は、機密情報、デバイス、または物理的な場所へのアクセスを効果的に制御する方法として、企業の間で広く使用されるようになっています。
しかし、生体認証が侵害不可能であるというわけではなく、また、プライバシーリスクが高くなります。したがって、従業員やエンドユーザーの確認のために生体認証を利用しようとする組織は、生体認証システムの実装方法に細心の注意を払う必要があります。
ここでは、経営幹部が自社での生体認証の使用について知っておくべきことを紹介します。
生体認証の仕組み
最も基本的なレベルでは、生体認証の識別子を使用して個人のアイデンティティを確認するには、「目的とする特徴を収集または測定する方法」と、「測定値を比較するための特徴の記録」の2つが必要となります。
ただし、最新の生体認証システムで生体認証プロセスを自動化するためには、一般的に以下の3つの手順が必要です。
- 身体的特徴の読み取り/スキャンに使用する物理的な測定デバイス: 人物の認証に使用
- 生体認証スキャンをデジタル形式に変換するソフトウェア: 身体的特徴の記録照合に使用
- 身体的特徴の保存済みレコード: ソフトウェアが新たにスキャンした人物を確認するための比較対象
集中型と分散型の生体認証データストレージ(および、その重要性)
生体認証データは通常、中央サーバーまたは認証デバイス自体に保存されますが、前者の使用は物議を醸す手法です。
パスワードのように生体認証データをサーバーに保存する場合、データベースが侵害されると、ユーザーの生体認証データが侵害されます。また、生体認証データはパスワードのようにリセットできないため、ユーザーの生体認証データが侵害されると取り返しがつかないことになります。
デバイスレベルで保存する場合、生体認証データを分散させた状態で保持するため、大量の生体認証データが一度に漏洩するリスクを排除できます(複数ユーザーと組織の保護を改善します)。
生体認証の種類
人間の身体は、ほぼすべての部分が測定可能ですが、個人のアイデンティティ確認に使用できない(または、使用すべきでない)身体的特徴もあります。本質的に他の特性よりも独自性が高い特性もあれば、技術的な制約がある(テクノロジーがまだ存在しない、あるいは特性を測定しにくい)ために測定困難な特性もあります。
以下は、人の特徴を利用した今日最も一般的な生体認証です。
- 指紋認証: 指紋は各人に独自のものであり、すでにスマートフォンのユーザー確認に使用されています。
- 行動的生体認証: 行動的生体認証は、キーストロークのパターンやコンピューターマウスの動きなどの個人の行動パターン、またはユーザーの物理的位置のような行動の特徴を使用して個人を識別します。
- 耳介認証: 耳の形(耳介)は各人に独自のものであり、耳介は指紋よりも正確に認識可能であることが研究で示されています。
- 声紋認証: 声は各人に独自のものであり、音声認識システムは平均90%の精度を提供します。
- 顔認証: 研究では、十分かつ詳細に測定された顔は各人で独自のものであり、正確な識別に効果的です。しかし、顔認識アルゴリズムは、完璧とはほど遠いものです。そのため、企業は人工知能(AI)を使用して精度を向上させるための措置を講じています。
- 掌形認証: 手の形(掌形)は各人に独自のものであり、1960年代から人の識別に使用されてきました。Infosec Instituteによると、掌形は一意ですが、掌形を使用した個人の識別には重要な制限がいくつかあります。
- 歩容認証: 歩容分析は、歩き方を測定することで個人を識別するものです。歩容認証はまだ新しいテクノロジーであるものの、スマートフォン向けシステムが研究者により開発されています。
- 網膜認証: 網膜認証は、網膜の一意のパターンを使用して個人を識別します。網膜スキャンは非常に正確であることが、研究により示されています。
- 虹彩認証: 虹彩認証は、網膜認証と似ていますが、網膜の代わりに虹彩の一意のパターンを使用する点が異なります。米国国立標準技術研究所(NIST)の調査によると、虹彩スキャンの精度は90〜99%です。
- 静脈認証: 静脈認証は血管認証とも呼ばれ、皮下静脈のパターンを使用して個人を識別します。静脈認証は、今日使用されている最も正確な生体認証テクノロジーです。しかし、研究者が手型を使用して静脈認証を破ったことが過去に報告されています。そのため、個人の区別には効果的ですが、攻撃の影響を受ける可能性があります。
- DNA認証: 平均的な個人は、DNAの99.9%が地球上の他のすべての人と共通しています。しかし、残り0.1%の独自のDNAにより、十分に高い精度で個人を特定できます。
サイバーセキュリティにおける生体認証の長所と短所
生体認証は、組織のセキュリティ向上とユーザーエクスペリエンス向上というメリットを約束するものです。しかし、従業員やエンドユーザーの確認のために使用する場合には、新たに生じるリスクを考慮する必要があります。
長所
生体の特性は、従来のユーザー名/パスワード(U/P)による認証よりも偽造、複製、転送が難しいため、生体認証はユーザーを確認する効果的な方法です。
また、指紋のスキャンなどで簡単に自己認証できるため、コンシューマーがU/P認証よりも生体認証を好むことが研究で示されています。肯定的なユーザーエクスペリエンスがセキュリティリスクを軽減し、競争優位性を提供できるため、この傾向は組織にメリットをもたらします。
最後に、生体認証データは、従来の認証手段よりもサーバースペースの使用量が少なくパスワードをリセットする必要がないため、企業は多くの場合にコストを節約できます。弊社のお客様の報告によると、ユーザーのパスワードのリセット1回につき最大120ドルのコストがかかるとされています。
短所
生体認証システムは、企業にとってゼロからすべてインストールする場合、実装コストがかかります。たとえば、指紋スキャナなどの一部の生体認証テクノロジーは、現在かなり安価に購入できます。しかし、より正確で信頼性の高いテクノロジーは、多くの場合に非常に高価です。携帯電話などの既存のデバイスに搭載されているスキャナを認証メカニズムとして使用することは、これらのコストを大幅に削減するための1つの方法となります。
また、生体認証は多くのセキュリティリスクを軽減するものの、サイバー犯罪者は依然として生体認証システムを突破する方法を見つけ、生体認証データが保存されているデータベースを侵害しています。
加えて、パスワードの保護に使用されるハッシュ化プロセスは生体認証データでは機能しないため、生体認証の安全な保管が課題となっています。そのため、生体認証をユーザー確認に利用している組織は、ユーザーを危険にさらすことがないよう、一元的に保存する生体認証データを適切に暗号化する必要があります。
現在一般的に使用されている生体認証の例
生体認証は、スマートフォン、タブレット、ノートPCで最も一般的に使用されています。たとえば、AppleとSamsungは、デバイスのロック解除に指紋認証と顔認証を使用しています。
また、企業、政府機関、さらには法執行機関も、アクセスコントロールや個人の身元確認のために多様な生体認証システムを使用しています。
- 金融サービス: 金融/銀行業界では、詐欺や個人情報の窃取を防ぐために行動的生体認証を使用しています。
- 法執行機関: 法執行機関は、犯罪者の身元確認のために指紋、掌紋(手のひらの皮膚紋理)、DNAを使用しています。
- 入国管理/税関: 多くの国では、外国人居住者の登録やビザ発給に生体認証を使用しています。たとえば、米国国土安全保障省は、入国時や、外国人居住者へのグリーンカード発行時に指紋と顔認識を使用して個人を確認しています。
- 医療: 病院内で患者を特定し、医療記録を取得するために、生体認証が使用されています。
- カスタマーサービス: カスタマーサービスセンターに電話をかけたユーザーの認証に、声紋認証が使用されています。
生体認証の未来
データ、デバイス、アプリケーションの保護に生体認証を採用する組織が増える中、生体認証業界の市場価値は今後 (注:ブログ執筆時点、2021年) 5年間で87%増加すると予想されています。この動きと並行して、組織が注意を払うべきいくつかのトレンドが生じています。
- 継続的な生体認証セキュリティの改善: 犯罪者は、生体認証システムを回避する新しい方法を次々に見つけています。したがって、生体認証データのセキュリティリスクの軽減は、1回で完了するイベントではなく、継続的な取り組みとなります。今後は、継続認証での生体要素の活用がさらに注目されるようになるでしょう。
- 継続認証における生体認証の利用増加: 近い将来、ユーザーがシステムにアクセスしたときの一度だけでなく、システムを使用している間、段階的に認証を求める継続認証が普及した場合、生体認証が継続認証システムに広く組み込まれていくと、多くの専門家が予想しています。
- 生体認証データに関する規制の強化: 生体認証は、まだ比較的新しいテクノロジーですが、生体認証データに関連するプライバシーの懸念を受けて、規制当局は生体認証データの収集、使用、保存に関する制限を強化し始めています。
これらの各トレンドの詳細については、生体認証に関する記事をご覧ください。Auth0 by Oktaで生体認証を実装する詳細については、こちらをご覧ください。
