ビジネスで「顔認証」の新トレンド、背景は今どきの”PC”と”働き方”

さまざまなセキュリティ対策の中でも基本中の基本が「ユーザー認証」だ。クラウドサービスの利用に伴い、ユーザー認証の機会が増える一方、サイバー攻撃によるアカウント漏えいなど「パスワード認証」の限界があらわとなった今、何をすべきだろうか。ソリトンシステムズは、働き方改革やテレワークの広がりといった環境の変化に応じて、使いやすく、なりすましが難しい「顔認証」を作り上げた。

» 2018年02月28日 10時00分公開

[PR／ITmedia]

　外部からのサイバー攻撃は後を絶たない。対策を考えるには相手の手口を知ることが重要だが、一口にサイバー攻撃といっても、脆弱（ぜいじゃく）性を狙うものや知り合いを偽装したメールなどさまざまな手法がある。実は、「盗まれたパスワードによるなりすまし」も無視できない割合に上る。フィッシングサイトを通じて盗み取られたり、不正アクセスによって流出したIDとパスワードのリストがブラックマーケットで売買されたり、別のサイバー攻撃に悪用されたりする事例が少なくない。

　そんな不正アクセスから企業の重要な情報を守る方法として、広く使われているのが「二要素認証」（多要素認証）だ。

　パスワードのみで認証している場合、パスワードが第三者に漏れてしまうと、本人になりすまし、不正にログインされる恐れがある。そこで二要素認証では、パスワードに代表されるユーザー本人が「知っている事柄」に加え、ICカードのように本人が「持っているもの」、あるいは指紋や静脈パターン、顔といった「本人の特徴そのもの」を組み合わせて本人かどうかを確認する。仮にパスワードを盗み見ることはできても、認証に用いる要素全てを盗み取ったり、流用したりすることは困難だ。こうしてなりすましのハードルを高くすることで、不正アクセスのリスクを減らす。

顔認証でなりすましを防ぐ

　政府が推進する「働き方改革」の一環として、リモートワークや在宅勤務を取り入れる企業が増えている。時間や場所を問わずリモートから企業システムにアクセスする場面が増えれば増えるほど、アクセスしてきたユーザーやデバイスが正しいものかを確認し、どんな権限を与えるべきかを判定する場面が増える。つまり認証の果たす役割がますます重要になる。こうしたニーズを踏まえてソリトンシステムズは、二要素認証ソリューション「SmartOnシリーズ」の機能を強化してきた。

ICカードや指紋、顔認証を活用し、「パスワード」だけに頼らない認証を実現

　SmartOnシリーズは、パスワードにICカードや生体情報を組み合わせた二要素認証を実現し、一段高いセキュリティを実現するシステムだ。販売開始は1997年にさかのぼる。

　シリーズ最新の「SmartOn ID」では、確実な本人認証を行って他人によるPC操作を防ぐ「二要素認証」機能の他に、複数のアプリケーションやWebポータルのパスワードを自動入力する「シングルサインオン」機能、認証の結果に基づいてUSBメモリやアプリケーションの利用を制御する機能も用意されており、ニーズや利用環境に応じて選択可能だ。

　こうした周辺機能の拡張だけでなく、認証機能をつかさどるSmartOn ID自体の機能も拡張してきた。既にFeliCa技術やMIFARE規格を採用したICカードによる二要素認証の他、指紋認証や静脈認証をサポートしている。2016年には「顔認証」に対応。カメラでユーザーを撮影し、顔の画像データから特徴点を抽出して、本人かどうかを確認できるようになった。PCに搭載されたカメラをそのまま利用できる上、より厳密な認証を求める場合には、パスワードと顔認証、ICカードと顔認証といった具合に複数の方式を組み合わせることもできる（動画1）。

動画1　「顔認証」利用イメージ

動画2　顔の角度を確認し、厳密に本人認証

　さらに2018年2月、この顔認証機能を強化し、写真などを用いたなりすましを防ぐ仕組みを追加した。具体的には、顔認証でログオンする際に、正面からだけでなく、顔を右に向けたり左に向けたりとさまざまな角度から確認することで、より厳密に本人認証する（動画2）。赤外線カメラを用いて顔認証を厳密化する方法もあるが、赤外線カメラ搭載PCはまだ製品が限られており、初期投資がかさむ。汎用のWebカメラを利用できるSmartOnはメリットが大きい。

モバイルPCでも違和感なく利用でき、働き方改革に適した顔認証

　ソリトンシステムズではこれまでも、セキュリティの強化と使いやすさ、コストといった複数の要素を、顧客の要望や利用環境に応じてバランスが取れるようにSmartOnシリーズの機能を強化してきた。今回の機能強化でもこれは変わらない。

　例えば、最も早くからサポートしてきたICカード認証は、コストパフォーマンスの高さがメリットだ。パスワード認証だけでは不安が残るが、いきなり生体認証に多額の投資を行うのは難しい企業や自治体を中心に、広く採用されてきた。

　一方でICカードは、運用負荷の高さが課題になっていた。利用するユーザーが増えると、一定の割合で必ずICカードを忘れる、破損してしまうといった事態が起こる。そのたびに臨時カードの発行作業が必要になり、管理者にも負荷がかかっていた。特に、支社や支店など遠隔地の拠点を多く抱える組織では、サポートの手間がばかにならない。さらに「ちょっとこのカードを貸すから、代わりに処理しておいて」という具合に、ICカードには「貸し借り」が可能なことによるリスクもある。

　PCやモバイルデバイスの「進化」も、ICカード認証にとっては多少不利に働いている。ハードウェア性能の向上に伴って、デバイス本体はますます薄く、スマートになってきた。10年ほど前のノートPCには、イーサネットのポートだけでなく複数のUSBポートやインタフェースが搭載されていたものだが、現在のノートPCやタブレット端末は非常に薄く、USBポートの数も限られている。ICカードリーダーを内蔵している端末も実は以前に比べて減っている。

ソリトンシステムズの上野玲奈氏

　「働き方改革を推進し、テレワークのためにタブレットやモバイル端末でどこでも仕事ができるようにしたいと考える企業が増えている。そんな環境でICカード認証を行おうとすると、マウスや通信のためのモバイルルーターに加え、外付けのICカードリーダーなどを接続する必要がある」（ソリトンシステムズITセキュリティ営業部マーケティング部マネージャの上野玲奈氏）。ちょっとした空き時間を使って仕事を進めようとしても、あれこれごそごそと机の上に広げ、抜き差しして使うのはあまりスマートな働き方とは言い難い。

　SmartOnでは指紋認証と静脈認証もサポートしているが、これもICカードと同様、読み取り用の外付けデバイスが必要だ。精度を高めようとすると認証デバイスのサイズが大きくなってしまう上、手荒れなどの事情で、100人いれば何人かはどうしても認証率が低下してしまう。こうした事情も相まって、働き方改革や業務効率向上を追求する企業の中では、余計な付属品なく利用でき、使い勝手に優れる顔認証の採用を検討する企業が増えているという。

機能強化で強固なセキュリティと運用性、利便性の両立を支援

　今回の顔認証の機能強化は、こうしたニーズの高まりを踏まえたものだ。「実はソリトンシステムズ社内で顔認証のβテストを行ったところ、『ICカードをいちいちかざすのは面倒だ、もう戻れない』という声が出たほどだ。スマートフォンで顔認証が採用されたため、抵抗なく利用する人が増えている。PCや端末にもともと搭載されているカメラを活用するため、外付けデバイスを購入したり、一緒に持ち歩いたりする手間がかからないことも評価された」（上野氏）

　今回の機能強化では、前述した写真や画像データを用いたなりすましの防止機能に加え、「離席ロック機能」にも改善を加えた。離席ロック機能は、定期的にカメラでPCの前に座っている人物をチェックし、一定時間不在が続くと離席したと見なしてPCをロックする機能だ。離席時にPCをロックするようルール化しても、実際にロックするかどうかは個人に委ねられていた中、システムとしてロックを徹底できる機能として評価されてきた。ただ、Skypeなど他のアプリケーションがカメラを専有していた場合に課題があった。

離席ロック機能は便利だが、課題もあった

　「リモートワークの一環で、Skypeなどビデオ会議・Web会議アプリケーションを活用するケースが増えている。このようなアプリケーションがカメラを専有していると、SmartOnによる定期チェックができないため離席中と見なし、会議中に勝手に画面をロックしてしまうことがあった。この問題を解決し、ビデオ会議・Web会議アプリケーションと共存できるようにした」（上野氏）

　さらにユーザーの業務内容に応じた細かい設定を施すこともできる。チェックを行う間隔や認証の厳密さの設定だ。例えば、マイナンバーなど個人情報を厳密に扱う端末では「本人かどうかのチェックを1分単位で行う」一方で、通常の業務用PCでは「PCの目の前に人がいるかどうかの確認を10分ごとに行う」といった具合に、扱う情報の重要さや場面に応じて使い分けることが可能だ。

個人情報を扱う端末ではユーザーの入れ替わりを厳密にチェックできる

　ICカード認証から顔認証への移行ニーズも高いという。既に竹中工務店のように、導入済みのICカード認証から、新たに顔認証への切り替えを決定した企業もある。1万人に上る社員の顔情報を管理者が登録する必要なく、クライアント側でユーザー自身が登録作業を行い、すぐに使い始めることができることも、運用上のメリットとして評価されたという。大規模なシステムになればなるほど、こうした使い勝手は重要だ。

　働き方改革はとても重要なテーマだが、セキュリティを欠くわけにはいかない。ただ、セキュリティが重要だからといって運用負荷が増えたり、ユーザーが不便になったりしては本末転倒だ。より効率的で安全の確保された働き方を目指す企業にとって、SmartOn IDの顔認証は検討すべき選択肢の1つだといえるだろう。