昨年末、イオン銀行は邦銀初となる、指紋認証のみでATMでの取引ができるようにする実証実験を開始することを発表しました。これまでもATM取引時に指紋や静脈などの生体情報を認証する事例はありましたが、いずれもキャッシュカードを挿入して暗証番号を入力することが必要であり、生体情報による認証は補完手段という位置付けでした。今回のイオン銀行の発表は、キャッシュカード、暗証番号、印鑑等を持っていなくても、事前に登録した指紋情報のみで本人認証を行いATMによる取引が行えるという、邦銀初の試みとなります。
上記の事例ばかりでなく、様々なところで生体情報(バイオメトリクス)による認証の利用が広がっています。それは生体情報が本人の身体的、あるいは行動的特徴に基づくものであるため、特に何かを持っていたり記憶したりする必要が無く、利便性が高いと考えられているからです。また、一般的に利用される暗証番号やパスワードの信頼性の低下も一因があると考えられます。
それでは、生体情報認証を利用すれば安全性の問題が解決されるという訳ではありません。生体情報による認証を適切に利用するには、生体情報認証について理解し、幾つかの注意点を認識することが重要です。
これから複数回に分けて、生体情報認証について確認します。
生体情報認証の基本情報
生体情報認証とは、他人と異なる身体の特徴や動作の特徴を利用して、本人であることを証明する認証技術のことです。これまでの認証情報との違いを以下の様に整理しました。これまでのICカード等の所有物やパスワード等の記憶による認証方式と比べて、盗難・漏えいによる成りすましや紛失・忘却による認証情報の喪失というリスクは軽減されますが、認証の正確性という面では、以前より精度は上がったとはいえ、過誤が発生する可能性があります。また、人によってはプライバシーと関連して、心理的な抵抗がある場合もあります。近年では科学技術の進歩により、生体情報が偽造される可能性もあります。
生体情報認証には過誤が発生する可能性がある、と述べましたが、生体情報認証を考える上で重要な以下の指標があります。
- 本人拒否率(FRR、False Rejection Rate):誤って本人を拒否する確率
- 他人受入率(FAR、False Acceptance Rate):誤って他人を受け入れる確率
- 登録未対応率(FTER、Failure To Enroll):生体情報が利用できない人の発生する確率
本人拒否率と他人受入率はトレードオフ関係にあります。本人拒否率を低く抑えようとすれば、他人受入率は高くなり、利便性を重視した設定となります。逆に、他人受入率を低く抑えようとすれば、本人拒否率は高くなり、安全性を重視した設定となります。実運用上では適用する業務やセキュリティレベルから、最適な設定を行うことが重要です。
また、登録未対応率とは指紋が薄い等の理由で生体情報認証が利用できない人が発生する確率です。登録未対応率が高い場合は、そもそも選定した生体情報認証での運用が難しくなる可能性があります。
生体情報認証と言っても、利用する生体情報は様々です。生体情報は上記で示した通り、他人と異なる身体的特徴に基づく情報と、他人と異なる動作に基づく身体的特性に基づく情報とがあります。現在、利用されている生体情報についてまとめた内容が以下になります。
現時点ではスマートフォンなどにも採用されている指紋認証がもっとも普及されていると考えられますが、セキュリティレベルの高い実験室やデータセンターなどではその他の生体情報が、場合によっては複数、使用されています。
生体情報認証の課題
生体情報認証については、身体一つあればいいという利便性の高さや暗証番号・パスワードに対する信頼性の低下から注目されていることは述べましたが、一方で課題となる点も幾つか存在します。
第一に、本人拒否率や他人受入率という指標が示す通り、完全一致による認証ができない、ということです。鍵であれば形状が一致しなければ開きません。パスワードも文字列が完全一致でなければ認証が拒否されます。しかし、生体情報認証は読み取った生体情報が登録時の情報と完全一致することは困難であり、そのためある程度の許容範囲を設定せざるを得ません。許容範囲を狭くすると安全性は増しますが、本人拒否率が高くなり、あちこちで認証されない、というクレームが発生するでしょう。逆に許容範囲を広げると、利便性は高くなりますが同時に他人受入率も高くなり、安全性に問題が起こります。
第二に、認証情報が漏えいした場合の再登録回数が限定される、または再登録自体が難しい、ということです。例えば、指紋認証であれば左右の指の合計10回の登録ができますが、手のひらの静脈認証や虹彩認証では左右2回までの登録しかできません。顔認証は替えが利きません。そのため、生体情報認証は長期間継続的に使用する場合には不向きだという意見もあります。
第三に、少なからず心理的な抵抗が発生する可能性があることです。人によっては、生体情報をプライバシーと関連付けて考えてしまう場合もあります。また、とくに指紋認証については、自分のスマートフォンであれば問題ないのでしょうが、他者に自分の指紋情報を提供することに抵抗感を覚える人も少なくありません。また、指紋認証や静脈認証等、何らかの機器に接触させて認証する場合、他者の接触のあった機器に触れることに抵抗を覚える人も存在します。その場合は実運用上でアルコール消毒液の設置等を検討すべきです。
次回は、生体情報認証の導入や運用、等に関して確認します。
――>「生体情報認証の利用における留意点(2)-導入と運用」
上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。
デルタエッジコンサルタントでは、情報システムや入退室などの認証機能をはじめ、様々なセキュリティに関するコンサルティングサービスや研修サービスを提供しております。詳細についてはこちらをご確認ください。
==>「コンサルティングサービス-リスク管理」のページ