SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

ガートナーのアント・アラン氏に訊く、今だから知っておきたい生体認証の現在地

 セキュリティ強化と利便性向上はバランスが難しい。セキュリティ強化するあまり、ユーザーへの負担が増えると利便性を損ねてしまう。それでビジネス機会を損失したり、運用が破綻してしまったら本末転倒だ。そこで有効な手段の1つとなるのが生体認証だ。多種多様な手段があるなか、知っておくべきことは何か。

生体認証はパスワードやトークンと何が違うのか

 ビジネスや情報資産のデジタル化が進み、「アクセスを試みているのは誰か」を確認することは重要なプロセスだ。これまで情報セキュリティ的に「境界」というと、ネットワーク構成を指していたが、クラウドも混じり状況は変容しつつある。「これからはIDが新しい境界となる」と考える人もいる。  

 「その考えはちょっと短絡的ではないかと思う」と、ガートナーでバイスプレジデントを務めるアント・アラン氏は疑問視する。同氏は1991年からセキュリティに携わり、2000年からはガートナーでアイデンティティ/アクセス管理を中心に調査を続けている。

米ガートナー  バイス プレジデント, アナリスト アント・アラン (Ant Allan) 氏

 アラン氏はこう説明する。「IDは企業資産へのアクセスを許可するかどうかを判断する要素のうちの1つです。どこからアクセスしているか、どのデバイスを使っているか、他の要素も組み合わせて判断する必要があります。IDしか見ないとなると、重要な兆候を見過ごしてしまう危険もあると考えています」  

 認証の厳格化と利便性の向上は、セキュリティとビジネスの狭間でバランスが難しいところだ。ある海外の銀行ではセキュリティを強化するために認証を厳格化しところ、ユーザーエクスペリエンスが悪化し、客離れを招くなどビジネスに悪影響を与えた例もあったという。  

 セキュリティを維持しつつ、顧客の利便性を損なわないようにする手段の1つに生体認証があり、ユーザーへの負担が少ないことから近年急速に普及しつつある。今のところ生体認証では、顔、虹彩、手の静脈や指紋、音声などが使われている。あらかじめ本人からキャプチャしたものから特徴を抽出し、リファレンスデータを作成しておき、認証時には同じくキャプチャから特徴を抽出し、リファレンスデータと比較する。おおよそ一致すれば本人、そうでなかったら本人ではないと判断する。  

 生体認証では従来のパスワードやトークンと異なる特徴がいくつかある。1つは認証時の比較が「完全一致」ではないということ。生体認証ではしきい値を定め、それ以上かどうかで判断する。もう1つ、他人に貸与または共有することが難しいことも特徴になる。あってはいけないことだが、誰かにパスワードを教えたり、トークンを渡すことで、本人になりすますことができる。しかし誰かに指紋や声を貸すことは容易ではない。  

 アラン氏によると、生体認証に懐疑的な立場からは「生体認証はリセットができない」ことをデメリットとして指摘する声もあるという。「パスワードなら盗難されたらリセットできるが、指紋を盗まれたら指紋はリセットできない」というのだ。しかし生体情報を何らかの形で不正入手したとしても、多くの場合は生きている人間で照合するので成功率は低そうだ。  

 例えば指を当てて認証するタイプだと、皮下の情報を読み取るので、誰かの指紋をコピーして自分の指紋の上に貼り付けたとしても効果がない。またスマートフォンで顔認証が登場したばかりのころ、顔写真のプリントで顔認証が通るかどうか、寝ている顔で顔認証が通るかどうかなど、多くの検証がなされた。今では顔の立体感を判断したり、カメラに目線を向けることを要件としたり、システムによってはまばたきをうながしたりするものもある。顔認証で誰かになりすますのは容易ではないということだ。  

 現段階では、照合時の精度は実用に十分なほど高まってきていると考えてよさそうだ。アラン氏は「生体情報は他人とのシェアが難しく、生きている人間の体が生成するデータを用いて照合するのが特徴です。そのため説明責任を果たすときに強い説得力を持ちます」と指摘する。  

 日本ではまだあまり普及していないが、顔写真つき身分証明書を用いるケースも海外では増えてきている。顔認証用の顔を登録する時に、運転免許証やパスポートの顔写真と紐付ける。本人確認をより厳密にするためだ。

次のページ
生体認証のこれから

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12416 2019/09/09 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング