2015年2月26日木曜日

マイナンバー制度をきっかけに、バイオメトリクス認証について考えてみる

みなさんこんにちは。

先日発表された新型VAIOが気になっている鷲尾です。

最近はAndroidとWindowsがデュアルブートできるタブレットが出てきていますね。
以前ASUSでもそういったものがあって、しばらく見ないと思っていたんですが、今はたくさん見かけます。VAIOもいいし、デュアルブートタブレットもいい・・・
どうしようかなと悩んでいる時が一番楽しい時間でもあるのですが。


さて、みなさん、「マイナンバー制度」って、ご存知でしょうか。ニュースで耳にしたことがあるようなないような・・という方が多いと思います。

マイナンバー制度とは「住民票を持っている人にその人専用の番号を割り当てて、社会保障や税、災害対策の分野で、個人の情報を効率的に管理しましょう」というものです。行政事務などを番号でやりとりすることが可能になるので、行政事務の効率化、行政や自治体との相互連携の円滑化といったメリットが見込めます。
また、振り当てられた番号は原則変更されませんので、一度振り当てられた番号は一生使います。今後は年金の受け取りや医療保険の申請、確定申告時などに、マイナンバーを記載することになっていくでしょう。

自分専用の番号で、いろいろな事ができるようになり、非常に便利になるマイナンバー制度ですが、ここで2つ疑問が湧きます。


1.他の国でもやっているのか、やっているのであれば問題は起きていないのだろうか
2.情報漏洩など、セキュリティ上の問題はないのか


→実は外国ではすでに複数の国が導入しています。例えばアメリカは、いち早くマイナンバー制度を導入した、言わば"マイナンバー先進国"です。(アメリカでは、ソーシャルセキュリティナンバーと呼びます)また、仕組みの呼び方は国によって様々ですが、ドイツや韓国、インドなどでも、この仕組みは導入されています。

マイナンバー制度を導入しているアメリカですが、実はIDの詐欺による問題もたくさん起きています。
例えば、"不法移民が職を見つけるためにIDを偽造"したり、"亡くなった家族になりすまして年金を受け取り続ける"といったものまで、様々です。


高度なセキュリティ技術をもかいくぐる、こういった"偽造"や"なりすまし"は、どうすれば防止できるのでしょうか。また、防止できるのであれば、どのような方法があるのでしょうか。


そこで今回は、パスワードを使った一般的なセキュリティ技術ではなく、少し趣向を凝らして、"バイオメトリクス認証"について考えてみたいと思います。





1.バイオメトリクス認証とは
バイオメトリクス認証とは、指紋や眼球の虹彩などの身体的特徴によって本人確認を行う認証方式のことです。生体認証とも言います。(参照:IT用語辞典 e-words http://e-words.jp/

有名なものは、指紋認証でしょうか。この世に同じ指紋を持つ人はいないという指紋の特徴を生かした、バイオメトリクス認証の代表とも言えるでしょう。スマートフォンにも搭載されているものがありますね。また、指紋の他に、顔や静脈、眼球(虹彩)などの身体的特徴、筆圧や運動速度などの習慣的特徴、といったものが利用されています。最近は、顔認証に関してのニュースをよく見かけますね。



 
 

セキュリティ技術は日々進化していますが、現状は攻撃する側と防御する側のイタチごっこになっています。また、コーディング方法やアルゴリズムを改善するといったセキュアプログラミングでセキュリティを高めていても、一度でも破られてしまうと、その脆弱性情報がセキュリティホールとしてネット上に出回ってしまう危険性もあります。

そうした中、原理的になりすましや偽造が困難なバイオメトリクス認証に注目が集まっているのです。



2.バイオメトリクス認証のメリット・デメリット
バイオメトリクス認証を考えるときに忘れてはならないのが、
「本人拒否率」「他人受入率」です。


本人拒否率とは、誤って本人を拒否する確率で、
他人受入率とは、誤って他人を受け入れてしまう確率のことです。

バイオメトリクス認証はその特性上、本人拒否率と他人受け入れ率をともに0にする事はできません。本人拒否率を下げれば、本人は認証されやすくなりますが他人を受け入れる確率も上がり、他人受け入れ率を下げればその分本人も拒否されやすくなります。

本人拒否率を下げて利便性をとるか、他人受け入れ率を下げて安全性をとるか、この2つのバランスを考えていかなければなりません。


・メリット
1.利用者にとって認証が簡単であること
バイオメトリクス認証で扱う生体情報は、唯一性と永続性という2つの性質があります。指紋や虹彩、顔などの情報は、認証毎に用意するものではありません。認証カードやパスワードを用意することもなく、非常に簡単に本人確認が行えます。

2.認証情報をなくすことがない(パスワードなどの機密情報を持ち歩く必要がない)
例えば事故や病気などで、認証を行っていた指(指紋:認証情報)を失ったという場合は例外ですが、基本的には生体情報(認証情報)をどこかで落としてしまう、盗難される、外部に漏れてしまうといったケースは考えにくく、機密情報が漏洩する可能性は極めて低くなります。

3.しきい値を運用者が自由に設定でき、目的に合致したセキュリティを実現することができる
本人拒否率と他人受け入れ率を設定することで、運用者の求める安全性と可用性を実現することができます。



・デメリット
1.バイオメトリクス認証は、パスワードなどを使った他の認証との併用が基本
顔や声などの生体情報は、体調や角度、照度などでも認証に失敗することがあります。パスワードであれば、正しい値であれば認証は100%成功しますが、バイオメトリクス認証の精度は100%ではありません。したがって、バイオメトリクス認証は併用して使われることがほとんどです。

2.破られてしまったら対処できない
パスワードであれば簡単に再発行ができるかもしれませんが、掌紋や顔認証だった場合、変更できる情報ではないため、簡単には対処できません。

3.生体情報を複製できないわけではない
例えば指紋であれば、特殊なゼラチンなどで指紋の型をとって、そのゼラチンで指紋認証が成功したという実験結果がありますし、特に偽造が困難だと言われている静脈認証も、大根を使って認証を成功させたというものもあります。根本的に指紋などを採取する時点でハードルは高いですが、複製できないわけではない生体情報もあるのです。

4.気づかない間に認証されてしまう可能性がある
もしかすると、あなたが寝ている間に指をスッとiPhoneにかざされてしまっているかもしれません。実は身近な人というのは盲点で、家族や親戚など不正に認証されてしまっていることも考えられます。

5.みんなが触る部分を触りたくない(生理的嫌悪)
中には、誰かが触ったものには触りたくないという人がいます。その数は決して少なくなく、無視できない問題です。現在は非接触型のバイオメトリクス認証がたくさんありますが、「生体情報で認証」ということ自体に嫌悪感を持つ人が存在するのも事実です。



ざっとメリット・デメリットを並べてみましたが、バイオメトリクス認証は非常に利便性が高い反面、問題点も多いようです。生体情報の複製や、気づかないうちに認証されてしまう危険性を解決できたとしても、生体情報を扱うということへの嫌悪感はなかなか消えないのかもしれません。そういったさまざまな問題が、バイオメトリクス認証の爆発的な普及に歯止めをかけているのかなと思います。



・バイオメトリクス認証について思うこと
SF映画などで、顔をスキャンしたり眼球で認証するシーンがよくありますが、あれは決して未来の話ではありません。ああいったSF映画の中でも、バイオメトリクス認証についていろいろな問題が起こっているのだろうか・・・と、映画の内容と関係のないところを考えてしまいます。

先日テレビで、世界一そっくりな双子の姉妹が紹介されていました。確かにそっくりではありましたが、人間が見れば簡単に判別がつくレベルでした。しかしその姉妹の違いに、誤認率0.0001%の高性能顔認証システムが騙されてしまったんです。人が見れば明らかに顔が違うのに、です。
番組はそれで盛り上がりましたが、バイオメトリクス認証の課題が垣間見えた瞬間でもあったと思います。

今はSNSやWebサイト、スマホアプリでも"アカウントを作ってパスワードを作成してください"といったものがほとんどです。しかしみなさん、毎回同じパスワードを使いまわしたりしていませんか?バイオメトリクス認証がもっと普及すれば、そういったパスワード管理の煩雑さを根本的に解決することができるのではないかと思います。

0 件のコメント:

コメントを投稿