生体認証やICカード認証の弱点を認識せよ:会社に潜む情報セキュリティの落とし穴(3/3 ページ)
それぞれの問題点
生体認証の問題点
現在では指紋や静脈、光彩などが主流になりましたが、用途は増加の一途をたどっています。生体の問題点はどこにあるのでしょうか。
まず、生体であるためにその特性を検知できない、もしくはそのものがない場合はその救済策を考慮する必要があります。例えば指紋なら、「生まれつき指紋がないもしくは極めて薄い」「薬品の取扱い業務などで指紋が消えてしまった」「指そのものが無い、もしくは喪失された」「“指掌角皮症”や逆に指に多量の油がにじんでしまう(病気ではないケースも多い)」があり、不特定多数を相手にするためには、救済策は欠かせません。
また、指紋なら生理的に「指紋=犯罪人」というイメージが強いケースがあります(欧米に多い)。採取を拒否される可能性が高く、時には宗教的要素も混在して困難な場合があります。
これに関連して、その登録データの安全性(管理面、運用面など)について、詳しくない人にも分かりやすく説明しなければなりません。例えば指紋なら、問題となる指紋のデータ(画像)をそのまま呼び込まず、非可逆的な関係(例えば指紋の登録データは画像データではなく、数学的に渦巻きの特異点や渦の個数、巻いているベクトル、線の密度などから算出したバイナリーデータであり、このデータを万一盗まれても画像データには決して変換できない)なので絶対に安全だという根拠を平易に解説すべきでしょう。
生体認証には、どうしても「他人受け入れ率」と「本人拒否率」がゼロにはならないという課題があります。以前は結果の良いテスト数値だけを宣伝するケースが見られましたが、最近では「参考数字にもならない」と不満が増加したため、公開しないメーカーが多くなりました。
このほかにも、容易に認証内容を変えられないという問題や、機器の耐用年数が極端に短いケースがあるといった課題もあります。例えば手のひら認証のデジタルデータが盗まれたから変更しようとしても、パスワードのように簡単にはできません。生体であるために、代替手段がなかなかないという欠点があります。機器の耐用年数では、きちんと見積りをしなければ、運用・保守において想定外の数字になるケースが散見されます。
生体認証の偽造研究で著名な横浜国立大学の松本勉教授は、ゼラチンでの指紋認証を通過させたり、大根での静脈認証登録を成功させたりと、さまざまな試行を行っています。ここでのポイントはただ1つ、「生体は偽造できない」をいう認識は誤ったものであるということです。本人が酔った状態や寝ている間にゼラチンで指紋を採取し、もう簡単に成りすましができてしまいます。
ICカードの問題点
ICカードにはさまざまな種類があります。電波方式だけでも幾つかありますし、メモリの有無、計算ロジックの有無、磁気カードの有無などもあります。こうした点を踏まえつつ、根本的な課題として「弊社はどういう目的でどういう運用で、どういうセキュリティで実施していく」というポリシーを決めなければなりません。
特に接触タイプなのか非接触タイプか、また、カード内の情報の暗号化を実現するかしないのかなどで、導入コストにも大きな影響を与えます。検討を重ねてから活用すべきでしょう。また、利用者はそのICカードがどういう種類なのかも認識しておくべきで、たまに「ポイントカードと認識していたらキャッシングもできるものだった。盗まれて現金が上限額まで引き出されていた」というエピソードを耳にします。
ICカードは決して安心ではありません。情報処理学会などでこの10年間に発表された論文を見るだけでも、突破法がいくつか解説されています。磁気カードに比べたら、比較的安全・安心と思うレベルでしかありません。生体認証やワンタイムパスワードと組み合わせで使っている場合には、どのようなセキュリティリスクが混在し、どのように使えば比較的安全になるかを認識すべきでしょう。上級者あれば、二要素認証などの弱点なども考慮したセキュリティ設計を行う必要があります。
最後に生体認証で本当にあった怖い事件を紹介しましょう。マレーシアでは、ある高額所得者が高級外車を購入した際に、盗難が多いことから盗難の難しい指紋認証システムでドアが開閉する仕組みを取り入れました。ある日、盗難のプロはその屋敷に潜入し、自動車を盗み出したました。窃盗団は事前に指紋認証であることに気が付き、ガレージへ行く前に寝室でオーナーの指を切断し、指紋認証を突破したのです。
こういう事件を避けるには、やはり鍵にした方がよかったのでしょうか……。
萩原栄幸
株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
生体認証が広げるコスト削減の可能性
銀行ATMや企業の入退室管理などのセキュリティ対策ツールとして生体(バイオメトリクス)認証の採用が増えている。高度なセキュリティの実現に加えて、コスト削減策としても注目を集めている。- 生体認証は入退室管理とPCログインに、ミック経済研調べ
生体認証市場では、入退室管理とPCログイン用途の拡大が見込まれるという。 
情報を扱うのは人間、セキュリティの大原則を忘れずに
情報漏えいに代表される企業のセキュリティ事件が経営にダメージを与えるケースが増加している。経営を取り巻く環境が厳しさを増す中で、企業は2009年におけるセキュリティリスクへどのよう立ち向かうべきだろうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。