今すぐ必要なセキュリティ対策を簡単・低価格に実現する「手のひら静脈認証」とは？：目前に迫るマイナンバーの本格運用

年末調整業務を控えたこの秋からマイナンバー制度への対応がいよいよ本格化する。制度が始まる直前に人事・給与システムなどの改修を終えていても、「実はセキュリティ対策がまだ……」というところが少なくないようだ。本格運用を前に必ず真っ先に講じておくべき対策を紹介する。

[PR／ITmedia]

　2016年1月1日に「マイナンバー制度（社会保障・税番号制度）」がスタートした。企業や組織でのマイナンバー業務は、しばらくの間は退職者や新入社員など限定的な範囲だったが、2017年1月からは源泉徴収票への記載が必須になるため、全従業員の年末調整業務などが始まるこの秋にいよいよ本格化する。その前に必ず実施しておかなければならないのが、マイナンバーガイドラインの「安全管理措置」で求められているセキュリティ対策だ。

マイナンバーのセキュリティ対策が後回し

　まずマイナンバー制度について簡単におさらいしておこう。マイナンバー制度は、日本に住民票を持つ全ての人に12桁の番号（マイナンバー）が付与され、社会保障、税、災害対策の分野に関わる行政機関の業務において、効率的で安全な本人確認などに利用される新しい社会基盤だ。

　企業や組織は、各機関に提出する年金や医療保険、雇用保険、福祉の給付や税の手続きといった法定調書などにマイナンバーを記載しなければならない。そのため、同制度への対応においては、マイナンバーを収集・確認・保管し、業務で安全に扱うための取り組みが求められる。マイナンバーとそれに紐付く情報は「特定個人情報」に指定され、安全管理措置に基づく厳重な管理を確実に実施する義務がある。

　実際には、制度開始3カ月前の2015年10月1日になってマイナンバー通知が始まるなど、企業や組織は非常に短い期間での対応に追われた。マイナンバーを収集・保管する仕組みや体制、ルールなどを整備し、マイナンバーを扱う人事・給与システムの改修や更新を急いで実施したものの、セキュリティ対策まで十分に手が回らなかったというところが少なくないようだ。

　制度開始後に行われた調査によると、企業や組織の情報システム部門が最も懸念する課題に、マイナンバーや個人情報などの「漏えいのリスク」が挙げられている。安全管理措置が求めるセキュリティ対策の内容は非常に幅広いが、真っ先に着手すべきは、マイナンバー業務の“入口”にあたる人事・給与システムを利用するためのPCの認証セキュリティ強化だ。

高い認証セキュリティと利便性の両立が不可欠

　マイナンバー業務を行うPCには、担当者以外の人物が不正操作できないように対策を講じる必要がある。一部ではすでに専用PCを導入し、厳格な運用を開始している企業もあるが、コストや工数の面から大半の企業では、既存のPCを継続利用しているケースが多いとみられる。こうしたPCの認証は従来のIDとパスワードのままになりがちで、特にパスワードは「定期的に変更すること」「使い回しは禁止」「異なる文字種を組み合わせて●桁以上にする」「メモして周囲に貼り付けない」といった厳格なルールを設けていても、実際の運用はユーザーに依存せざるを得ない。

パスワード認証だけの運用は問題だらけだ

　パスワード認証の運用ルールを厳格化すると、ユーザーの利便性を低下させてしまう。その結果、「つい……」「面倒だ」「覚えられない」といった理由でユーザーがパスワードのルールを順守しなくなり、かえって第三者にPCを不正操作されるリスクが高まる。また、パスワードを忘れた従業員の対応にあたる管理部門の工数や運用コスト増にもつながる。

　このように、パスワード認証には多くの課題や危険性が付きまとう。認証を強化するには、確実な本人認証が可能な「セキュリティ」と「利便性」を両立することがポイントになり、その方法として注目されているのが「生体認証」だ。

パスワード認証にまつわる課題解決には手のひら静脈認証などの生体認証が有効だ

　例えば、富士通ではセンサに手のひらをかざすだけで、その静脈の特徴点を読み取り、本人認証を行う技術を搭載したPCやデバイス、ソフトウェアを数多く提供している。中でもマイナンバー業務に既存PCを割り当てているようなケースで認証強化によるセキュリティ対策として注目したいのが、「手のひら静脈認証Basicパック」だ。

既存PCに簡単・低コストで導入、ログも記録

　生体認証の中でも手のひら静脈の情報は、指紋や顔などの「体の表面の情報」とは異なり、ユーザー本人しか持ちえない「体の中の情報」だ。偽造や紛失、盗難の心配がなく、静脈の本数も多いことから精度の高い認証を実現する。静脈そのものも太く、体の他の部位の静脈に比べて温度変化による影響が少ない。認証自体は手のひらをセンサにかざすだけなので、ユーザーへの負担がほとんどないのも特長だ。

「手のひら静脈認証」を使えば、パスワードを手入力することなくWindowsやアプリケーションへのログオンができる

　ただ「生体認証」と聞くと、高額な専用装置や工事が必要で、登録や設定に手間がかかると思う人もいるだろう。「手のひら静脈認証Basicパック」は、ローカル運用向けなので、サーバの導入は不要だ。小型の手のひら静脈センサ「PalmSecure-SLスタンダードセンサー」（富士通フロンテック製）と、認証ソフトウェア「SMARTACCESS/Basic V5.0」やドライバソフトをオールインワンで提供しており、そんな生体認証にまつわる懸念を払しょくしてくれる。

「手のひら静脈認証Basicパック」の中身。手のひら静脈センサの「PalmSecure-SLスタンダードセンサー」（色はグレーとホワイトの2種類）と認証ソフト「SMARTACCESS/Basic V5.0」とドライバソフトを格納したCD-ROMを利用するだけで、Windows PCに手のひら静脈認証を追加できる。価格も1万9800円（税別）と安価だ

「かんたんセットアップ」ですぐに利用開始

　「手のひら静脈認証Basicパック」を導入するには、既存のPCに、同梱のドライバソフトと認証ソフトの「SMARTACCESS/Basic V5.0」をインストールし、USBケーブルでPalmSecure-SLスタンダードセンサーを接続するだけだ。

　あとは利用開始前の設定だが、特に便利なのが、SMARTACCESS/Basic V5.0のみに用意されている「かんたんセットアップ」だ。ユーザーの認証情報を登録するだけで、すぐに利用を始められる。SMARTACCESS/Basicをインストールする時にかんたんセットアップを選択。完了後にWindowsログオンのパスワードを登録、次にユーザーの手のひら静脈の情報を登録すればいい。

「かんたんセットアップ」を利用したWindowsログオンでの手のひら静脈認証を設定する流れ。使いやすいユーザーインタフェースのため、短い時間で完了できてしまう

　また、業務アプリケーションで利用するための登録作業も簡単だ。業務アプリケーションを起動してログオン画面が表示されると、SMARTACCESS/Basic V5.0がこれを自動認識し、ポップアップメッセージを表示する。あとはそのメッセージに従って手のひら静脈認証の情報と業務アプリケーションにログオンするためのID、パスワードを連携するように設定するだけである。一度設定してしまえば、次回の業務アプリケーション起動時には、手のひらをかざすことさえ不要なシングルサインオンで自動的にログオンされる。なお、詳細な設定や全ての機能を利用する場合は、SMARTACCESS/Basicをインストールする時に「標準セットアップ」を選択して設定する。

　「手のひら静脈認証Basicパック」は、富士通製PCはもちろん、あらゆるメーカーの日本語版Windows PCに手のひら静脈認証を追加できるのが大きな特長だ。センサ自体は非常に小さく、狭い場所への設置に適しているほか、マイナンバー業務の際に通常業務とは異なる場所で作業するような時の持ち運びもしやすい。電源はPCからUSBで給電されるので、センサに電池を入れたり交換したりといった手間もない。

「手のひら静脈認証Basicパック」なら、いま使っているWindows PCにすぐに追加できる

　またSMARTACCESS/Basic V5.0は、Windows OSへのログオンと、富士通のGLOVIAシリーズなど市販の人事・給与パッケージソフトに対応しており、安全にシステムへのログオンができる。生体認証のために人事・給与システムの設定を変更するなどの作業も不要だ。

　SMARTACCESS/Basic V5.0では、PC1台についてユーザーを最大30人まで登録できる。認証操作は全てログとして記録され、万一の際の追跡調査にも役立てることが可能だ。また、インストール時に標準セットアップを選択すれば、通常業務で社員やアルバイトなど複数のユーザーが、共用端末として同一のWindowsアカウントでPCを利用している場合にも、手のひら静脈認証で確実に利用者を特定できる。ユーザー以外の人物によるPCやシステムへのログオンを防ぐだけでなく、悪意を持ったユーザーによる不正行為の抑止効果も得られる。

トップレベルの認証技術を低コストで提供

　多くの企業や組織でマイナンバー制度への対応に必要なセキュリティ対策まで十分に手が回らなかった背景には、準備期間の短さもあるが、コスト負担の面も大きく影響している。特に大企業と比べて予算に制約のある中小企業では、マイナンバー対応のためのセキュリティ費用をねん出するだけでも一苦労だ。

　コスト負担が大きいなら、従来のパスワード認証を厳格化した方が費用はかからないと、つい考えてしまいがちだろう。ここが大きな落とし穴になる。先に挙げたさまざまなパスワードルールを徹底するには、従業員に対する教育や啓発を繰り返し実施しなければならないし、管理者が順守状況を絶えずチェックしないといけない、また、パスワード認証を厳しくするほど忘れる従業員への対応が増加するので、再発行などの工数増にもつながる。

　こうした作業に伴うコストは、金額などに換算しづらいが、実際には無視できないほどの負担だ。それでいて効果には常に疑問がつきまとうし、ルールを守らなくてはいけない従業員のストレスや手間も計りしれないものだ。

60カ国で約7000万人が登録する「手のひら静脈認証」

　富士通独自の「手のひら静脈認証」は、自治体の住基ネット端末や金融機関のATMなど高レベルのセキュリティが要求される「端末の認証」に世界中で利用されている。

　同社が提供する「手のひら静脈認証Basicパック」は、この独自技術を採用しつつ、小規模運用で1万9800円（税別、定価）という低価格を実現したものだ。少ないコストで、既存のPCへ簡単に生体認証を導入できることに加え、パスワードの記憶や手入力に頼ることなく、システムを利用できる利便性も期待できるなど、中小企業における現実を踏まえたセキュリティ強化のための方法として、期待される存在といえる。

　同社では、上述の小規模ユーザー向け商品の他にも、手のひら静脈センサを内蔵しているPCやタブレット、中〜大規模ユーザー向けに認証情報を一元管理するための認証サーバなど数多くの企業に採用されているセキュリティソリューションも幅広くラインアップしている。マイナンバー業務の本格運用を目前に控えたいま、まだセキュリティ対策が間に合っていないという企業や組織は、まず「手のひら静脈認証Basicパック」のような方法を積極的に利用して必要な対策を真っ先に講じたいところだ。そして、運用体制や予算に応じてセキュリティの強化を着実に進めていただきたい。

世界最小・最薄・最軽量の静脈センサ^※。センサ部は500円玉サイズまで小型化を実現^{※富士通調べ}

法人PC／タブレットへの内蔵など幅広いラインアップを提供