生体認証は、多くの個人および企業のセキュリティシステムの高度なレイヤーとして台頭しています。ユーザーの生物学的特徴や行動から独自の識別子を得ることができるため、確実なセキュリティ対策のように見えるかもしれません。しかし、生体認証のみを認証方法として使用することについては、多くの人が慎重な姿勢を保っています。
現代のサイバーセキュリティは、この強力なセキュリティ対策のリスクを緩和することに重点を置いています。従来のパスワードは、セキュリティシステムの弱点となってきました。生体認証は、身元情報の証明を身体的特徴や行動パターンに結びつけることで、この問題の解決を目指しています。
この記事では、サイバーセキュリティが生体認証を使用する方法の基本を見ていきます。また、理解をより深めるために、生体認証に関するよくある質問にも答えていきます。
- 生体認証とは
- 生体認証データとは
- 生体認証スキャナーとは
- 生体認証セキュリティのリスクとは
- 生体認証をよりセキュアにするには
まず、基本的なことから始めましょう。
生体認証とは
生体認証の定義を簡単に述べると、個人の識別に使用可能な生物学的測定値、または身体的特徴です。生体認証技術の例として、指紋認証や顔認証、網膜スキャンがあります。これらは最もよく知られた方法の一部にすぎません。
リサーチャーによると、耳の形、座り方、歩き方、独特の体臭、手の静脈、そして顔の歪みまでもが独自の識別子になるとのことです。これらが、生体認証の定義をさらに明確にしています。
生体認証セキュリティの3つのタイプ
生体認証は他の用途にも使用することができますが、セキュリティに使用することが多く、主に次の3つのグループに分類されます:
- 生物学的生体認証
- 形態学的生体認証
- 行動的生体認証
生物学的生体認証は、遺伝子や分子レベルの特徴を使用します。DNAや血液のような特徴がそれに該当し、体液のサンプルを使用して評価されます。
形態学的生体認証は、身体の構造に関係しています。目や指紋、顔の形など、より身体的な特徴をマッピングし、セキュリティスキャナーに使用することができます。
行動的生体認証は、各人に固有の行動パターンに基づいています。歩き方、話し方、キーボードの打ち方さえも、これらのパターンが追跡されれば、その個人を特定することができます。
生体認証の仕組み
生体認証は、日常的なセキュリティにおいてますます重要な役割を果たすようになっています。身体的特徴は、大きく変わる可能性が比較的低く、各個人に特有の要素でもあります。双子であっても、それぞれ違った特徴を持っています。各人の独自の生体認証IDは、コンピューター、電話、アクセス制限がある部屋や建物に使用されるパスワード認証に取って代わるか、少なくとも認証の補強に使用できます。
生体認証データが取得されマッピングされると、そのデータは保存され、今後のアクセス試行の際の照合に使用されます。ほとんどの場合、このデータは暗号化され、デバイス内またはリモートサーバーに保存されます。
生体認証スキャナーは、認証に必要な身体情報を読み取り、本人確認を行うために使用するハードウェアです。スキャンされた身体情報は保存済みのデータベースと照合され、システムへのアクセスを承認または拒否します。
言い換えれば、生体認証セキュリティとは、ユーザーの身体情報がアクセスを解除する「鍵」になるということです。
生体認証が広く使用されているのは、主に次の2つの利点によります:
- 使用する際の利便性: 生体認証にはユーザーの身体情報が使用されるので、紛失したり忘れたりする心配がありません。
- 盗難やなりすましが困難:生体認証は、パスワードや鍵のように盗まれることがありません。
これらのシステムは完璧ではありませんが、サイバーセキュリティの未来にとって大きな可能性を秘めています。
生体認証セキュリティの例
生体認証セキュリティの一般的な例をいくつか紹介します:
- 音声認証
- 指紋スキャン
- 顔認証
- 虹彩認証
- 心拍センサー
実際に、生体認証セキュリティは既に多くの業界で効果的に使用されています。
高度な生体認証は、機密文書の保護にも使用されています。Citibankは既に音声認証技術を使用しており、英国のハリファックス銀行は、顧客の身元を確認するために心拍を監視するデバイスをテスト中です。フォード社は、自動車に生体認証センサーを搭載することを検討しています。
世界中の電子パスポートにも、生体認証が組み込まれています。米国の電子パスポートには、顔、指紋、または虹彩のデジタル写真を含むチップと、不正なデータ読み取り装置によるチップの読み取りやデータのスキミングを防止する技術が実装されています。
これらのセキュリティシステムが展開していく中で、そのメリットとデメリットもリアルタイムで明らかになっています。
生体認証スキャナーの安全性:改善点と懸念点
生体認証スキャナーは、ますます高性能になっています。電話のセキュリティシステムにも、生体認証が搭載されています。たとえば、AppleのiPhone Xに搭載されている顔認証は、ユーザーの顔面に30000個の赤外線ドットを投影し、パターンマッチングでユーザーを認証します。Appleによれば、iPhone Xの生体認証で誤認証が起こる確率は100万分の1とのことです。
LGが開発したスマホであるLG V30は、顔認証と音声認証を指紋スキャンと組み合わせ、データをスマホに保存することで、より高度なセキュリティを実現しています。センサーメーカーのCrucialTecでは、心拍センサーを指紋スキャナーとリンクさせた二段階認証を使用しています。これにより、コピーした指紋を使用してシステムへアクセスすることができなくなります。
問題は、顔認証システムを含む生体認証スキャナーを騙すことができるという点です。ノースカロライナ大学チャペルヒル校では同意を得た参加者20人の写真をソーシャルメディアからダウンロードし、顔の3Dモデルを作成し、実験を行いました。作成した3Dモデルを使用してテストした5つのセキュリティシステムのうち、4つのシステムが突破されました。
指紋コピーの事例も、至るところで見つかっています。Black Hatサイバーセキュリティカンファレンスで発表された事例により、10ドル程度の材料を使用すれば、約40分で確実に指紋がコピーできることが証明されました。必要なのは、成形プラスチックかキャンドルのロウで指紋の型を取ることのみです。
ドイツのChaos Computer Clubは、iPhoneのTouch ID指紋リーダーの公開からわずか2日後に、なりすましに成功しました。ガラスの表面に付着した指紋を撮影し、それを使用してiPhone 5sのロックを解除したのです。
生体認証:身元情報とプライバシーに関する懸念
生体認証は便利ですが、プライバシー擁護派は、生体認証によるセキュリティが個人のプライバシー侵害になるのではないかと懸念しています。懸念点は、個人データが同意を得ることなく簡単に収集される可能性があるということです。
中国の都市では、顔認証は日常生活の一部であり、日々の買い物にも使用されています。また、ロンドンではCCTVカメラがあちこちに設置されていることは有名です。現在、ニューヨーク、シカゴ、モスクワの各都市は、市内のCCTVカメラを顔認証データベースに接続し、地元警察による犯罪対策に役立てています。この技術をさらに発展させるため、カーネギーメロン大学は、10メートルの距離から群衆の虹彩をスキャンできるカメラを開発中です。
2018年には、顔認証がドバイ空港に導入される予定です。仮想水族館のトンネルを通る間に、旅行客は80台のカメラで撮影されます。
顔認証カメラは、ヘルシンキやアムステルダム、ミネアポリス・セントポール、タンパなど、既に世界中の空港に導入されています。撮影したデータはすべてどこかに保存する必要がありますが、このことが、常に監視され、データを悪用されるのではないかという懸念に拍車をかける結果となっています。
生体認証データのセキュリティに関する懸念
喫緊の問題は、個人情報のデータベースがサイバー犯罪者の標的になっていることです。たとえば、2015年に米人事管理局がハッキングされた際、560万人の政府職員の指紋が持ち去られました。これにより、職員の身元情報が盗まれて犯罪に悪用されるリスクが高まりました。
iPhoneのTouch IDやFace IDなど、生体データをデバイス上に保存することは、サービスプロバイダーにデータを保存するよりも、安全であると考えられています。これは、データが暗号化されている場合も同様です。
そのリスクはパスワードデータベースと同様で、サイバー犯罪者がシステムに侵入し、適切に保護されていないデータが盗む可能性があります。ただし、生体データとパスワードでは影響が大きく異なります。パスワードが流出した場合は、変更が可能です。一方、生体データは永久に変わることがありません。
生体認証の本人情報を保護する方法
プライバシーと安全性の面でリスクがあるので、生体認証システムを保護する手段を追加する必要があります。
システムが複数の認証手段を必要とする場合、不正アクセスはより困難になります。たとえば、(瞬きなどの)生体検知や、符号化されたサンプルと暗号化されたドメイン内のユーザーとの照合などです。
セキュリティシステムの中には、生体認証データに年齢、性別、身長なども含めることで、サイバー攻撃を防止するものもあります。
インドのUnique ID Authority of India Aadhaarプログラムは、その好例です。2009年に開始されたこの多段階認証プログラムは、虹彩のスキャン、10本の指の指紋、顔認証を組み合わせて使用します。
この情報は、インドの12億人の各住民に発行される固有のIDカードにリンクされています。近い将来、このカードはインドで社会福祉サービスを利用するすべての住民に必須となる予定です。
生体認証は、二要素認証の手順の一部として、ユーザー名の代替として使用できます。次の要素を組み込むことができます:
- 生体情報(生体認証)
- 所持情報(ハードウェアトークンなど)または知識情報(パスワードなど)
二要素認証が強力な組み合わせとして大きな効果を発揮するようになったのは、特にIoTデバイスの普及に負うところが大きいでしょう。保護の多層化によってセキュリティが強化されたインターネットデバイスは、データ侵害に対する脆弱性が緩和されます。
保護をさらに多層化する場合は、パスワードマネージャーを使用して従来のパスワードを管理するとよいでしょう。
生体認証のまとめ
要約すると、生体認証はサイバーセキュリティシステムでの本人確認方法として、成長を続けています。
身体的または行動的特徴を使用する認証とその他の認証を組み合わせることで、現在知られているどのセキュリティよりも強固な保護を実現することができます。現時点では、文字ベースのパスワードを単独の認証として使用するよりは、少なくとも優れています。
生体認証技術によるセキュリティの強化は、非常に説得力があります。リスクはあるものの、利便性に優れています。その上、複製が困難です。さらに、これらのシステムは今後も長期間にわたって発展し続けることが期待されます。
関連記事: