小学館IDをお持ちの方はこちらから
ログイン
初めてご利用の方
小学館IDにご登録いただくと限定イベントへの参加や読者プレゼントにお申し込み頂くことができます。また、定期にメールマガジンでお気に入りジャンルの最新情報をお届け致します。
新規登録
人気のタグ
おすすめのサイト
企業ニュース

セキュリティーの課題を解決できるか?注目を集める2つの新しい生体認証技術

2022.02.03

昨今、新しい認証技術が生まれている。つい最近まで新しい認証というイメージだった「生体認証」も、スマートフォンをはじめとした身近なところで利用されるようになった。しかし認証技術は、どんなに利用者にとって便利になったとしても、常にセキュリティの観点が大きな課題となる。最近では、生体認証が、さらにセキュリティの観点から進化している。今回は、その2つの新しい生体認証の技術を紹介する。

新しい生体認証の技術2選

1.「公開型生体認証基盤(PBI)」

「公開型生体認証基盤」は「PBI(Public Biometric Infrastructure)」と呼ばれる技術で、日立製作所が開発し、特許を取得しているものだ。

従来、生体認証の課題として、人間の生体情報が保存されていることから、情報漏えいのリスクが懸念されていた。それを解決するのが公開型生体認証基盤(以下、PBI)だ。

簡単に言えば、PBIは、読み取った生体情報から「秘密鍵」を生成し、利用後破棄する仕組みであるため、漏えいしたら困る情報をどこにも保存・管理することがない。

PBIは、生体認証と、安全なインターネット通信を実現する技術「PKI(Public Key Infrastructure)」を組み合わせた技術だ。それぞれの違いを確認しておこう。

・生体認証…サーバー上やICカードなどの媒体に保存・管理された生体情報データで認証。

・PKI(公開鍵暗号方式)…公開鍵と秘密鍵のペアで構成され、この2つの鍵を使ってデータの暗号化と復号化をする暗号方式。ICカードなどに格納された秘密鍵を用いて暗号化(署名)したデータをサーバーへ送信し、サーバー側は公開鍵で署名検証することで認証する。

・PBI…上記PKIの秘密鍵に生体情報を用いる仕組み。認証を行うごとに、生体情報から「秘密鍵」を生成して、利用後破棄することで、生体情報と秘密鍵の保存・管理はない。

PBIは、生体認証から秘密鍵を生成して、利用後破棄する仕組みなので、従来の生体認証やPKIのように、生体情報や秘密鍵をサーバーや媒体のどこにも保管されず、そもそも情報漏えいリスクがないのがメリットだ。

●ハッキングの恐れは?

ところで、PBIで秘密鍵を生成・破棄するときにハッキングされることはないのか。日立製作所の担当者に聞いてみた。

「秘密鍵は生成・署名処理・破棄までの一瞬しか存在しません。またその一瞬の情報が、マルウェアなどによって外部からハッキングされないよう、安全な方法で処理を実装することにより、リスクを極小化しています」

●PBIの課題

PBIには、現状どのような課題があるのだろうか。

「生体認証の方式、例えば静脈、顔、指紋、虹彩などによって、生体情報の揺らぎのパターンが異なるため、それぞれの方式に対してアルゴリズムをカスタマイズする必要があることが、PBIの課題です。現時点で、PBIは、指静脈認証と顔認証の2つに対応しております」

●PBIが採用されているシーン

新型コロナ感染拡大を受け、非接触の認証のニーズが高まったことを受け、2021年3月に新しい生体認証デバイスなどが日立製作所から発表された。例えば、3本の指を同時に浮かせてかざすことで非接触の生体認証ができる「日立指静脈認証装置C-1」。数百万人規模の大規模ユーザーにも対応できるため、全国規模の店舗などで幅広く利用が可能になった。

また、PCカメラ向け生体認証ソフトウェア開発キット「日立カメラ生体認証 SDK for Windows フロントカメラ」の提供もスタート。これは、在宅勤務などのリモートワークで、専用デバイスを使わずにパソコンのカメラだけで、PBIによる生体認証が可能になるシステムを作れるものだ。Windowsのサインインや業務システムへのシングルサインオン、電子署名などの本人確認を手軽で安全に行える。

今後は、「入国・入場時のコロナ陰性証明確認」「アルコール購入時の年齢確認」「レンタカー利用時の運転免許証の確認」「端末買換え時のデータリカバリー」などへの利用が想定されるという。

2.「行動的生体認証」

(画像はイメージ)

続いては、行動的生体認証(Behavioral Biometrics)。これは人間の生体の中でも、「行動による特徴」によって認証する技術だ。「行動」とは、「その人がどんな風に手や足を動かして歩くか」「パソコンのキーボードを打つときの速さ・緩急・頻度の高い利用キー・打ち間違えの頻度・傾向」「マウスの動き」「画面スワイプの速度」「指圧」

などの行動・操作を行動的特徴として情報として保存し、個人を認証する。

認証において課題なのが、情報漏えいリスクとともに「なりすまし」だ。行動的生体認証は、他者が本人の行動を完全に真似することがなかなかできないという点から、高い安全性が期待できるとされている。

また、利用者に負担を強いないのもメリットだ。普段の行動やサービス利用時の操作から情報を取得するためだ。ログイン時だけでなく、ログアウトまで継続して認証できるという利点もある。

●金融機関で関心が高まる

この行動的生体認証は、様々な業界・分野での活用が想定されるが、特に金融機関で関心が高まっている。銀行口座の不正利用問題が増加傾向にあることから、口座の暗証番号による認証とともに、ワンタイムパスワードや指紋などを用いて二段階認証を行うケースが出てきている。その複数段階目の認証技術として、行動的生体認証が注目を集めている。

●みずほ銀行・SCSKの共同実証実験

みずほ銀行が2020年4月~6月、SCSK株式会社と共に、BioCatch社の行動的生体認証技術を用いた金融詐欺の防止をねらいとした共同実証実験を行った。

BioCatch社は、本社イスラエル・テルアビブの、2011年に設立されたITスタートアップ企業。AIを活用した行動的生体認証のプラットフォームを提供しており、すでに米国の金融機関を中心に多くの導入実績を持つ。

実証実験では、みずほ銀行のバンキングアプリケーションを模した、疑似アプリケーションにBioCatch社のテクノロジーを実装し、複数のテスターで送金シナリオを実行することで、なりすまし対策およびその他金融詐欺の対策ソリューションとしての有効性を分析、検証した。

当実験の結果をもとに、金融詐欺対策としてAIを活用した行動的生体認証ソリューションの早期導入を目指すという。

●行動的生体AI認証技術のメリット・デメリット

このみずほ銀行との共同実証実験に携わったSCSK株式会社から、ITエンジニアリング事業本部 ミドルウェア営業部 硲公志氏に、行動的生体AI認証技術のメリットとデメリットを尋ねた。

「行動的生体認証は、個々人の行動を分析して認証要素として使うものなので、盗用されにくい特性があります。また、利用者はパスワードを入力する必要がありません。そのため、導入されるWebサービスの利便性を下げることなく、セキュリティ性の向上が期待できるという点は、Webサービスを提供している事業者とそのサービスを利用する利用者共に大きなメリットではないかと考えます。

一方で、個々人の行動情報を収集するものになるため、個人情報保護の観点で考慮が必要です。ただし、BioCatchの場合は常時利用者の操作情報を収集し続けるものではなく、あくまで該当のWebサービスを利用している間に限定して収集しています。また、収集する情報は個人を特定する情報ではなく、可能な限り個人情報を収集しないよう、考慮されたサービス設計となっているため、BioCatchに関してはこの点をデメリットとして考える金融機関のお客様は非常に少ないという反応を得ています」

●ユーザーは将来「パスワード管理の手間から解放される」可能性

将来、行動的生体AI認証技術が実用化された場合、利用客はどのような対応が必要になるのか。硲氏は次のように回答する。

「世の中のあらゆるWebサービスに行動的生体認証が導入された場合、利用者はパスワードを管理する手間から解放されるのではないかと思います。また、パスワードを入力するという概念自体がなくなるかもしれません。近年、あらゆるサービスがWebで提供されるようになり、非常に便利になっていく一方で、IDやパスワードの管理、またパスワードの使いまわしによるセキュリティリスク等の課題も出てきておりますが、こういった現状の課題を解決できる可能性は十分にあると考えております。

一方で、利用者は自身のどのような情報が収集されているのか把握しておく必要はあると思います。BioCatchのように収集している情報自体が個人を特定する情報でない場合は、利用者側のデメリットは低いと考えますが、サービスによっては利用者にとってデメリットとなり得る情報を収集するものもあると思います。そのため、利用者は自身の情報が意図せず収集されることがないように十分留意する必要があると考えます」

2つの新しい生体認証技術を紹介した。どちらもセキュリティの観点から、利用者の立場としても安心できそうな技術だ。とはいえ、まだ課題もある。今後、セキュリティ強化と共に、ユーザーの利便性も合わせて進化し、社会的に実装されることが期待される。

【参考】
日立製作所「生体認証」
株式会社みずほ銀行 SCSK株式会社「行動的生体AI認証技術を用いた金融詐欺の防止に関する共同実証実験の開始について」
SCSK株式会社「BioCatch」製品紹介

取材・文/石原亜香利

興味のあるジャンルを登録して@DIMEをもっと便利に!話題のコーヒーメーカー「BALMUDA The Brew」やAmazonギフト券が当たるキャンペーン実施中

@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2022年5月12日(木) 発売

DIME最新号の特別付録は「Qi対応ワイヤレス充電器」! 特集は「2022年下半期 逆襲の資産運用プラン」!

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 10401024号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。