　「生体認証は怖いから嫌い」と感じている人も多いのではないかと思います。上海ディズニーランドの事例は入園者の顔写真データそのものを保持しています（これは米国のディズニーランドでも同様で、長期間利用できるチケットを購入している場合は、入園初日にスマホで顔を撮影し、記録しています）。これを元に、本人確認を行うわけです。テーマパークのような場所であればこの方法もアリですね。

　しかし、生体認証がなんとなく怖いと思う根源は、やはり「替えが効かない」という点にあると思います。万が一、生体認証の鍵となる「顔」や「指紋」の情報が漏れてしまったとしても、パスワードのように「変更」が効くわけではありません。それに、顔や指紋が誰かに保持されていることは、純粋に気持ち悪いと思うかもしれません。

「iPhone X」は顔認証を採用

　そんな生体認証が、最近スマートフォンで活用されつつあります。iPhoneは5s以降から指紋認証機能「Touch ID」を搭載しており、Androidでも多くのハイエンド機種で指紋認証が使えるようになりました。さらに、Appleは11月発売予定の新機種「iPhone X」（テン）にて、顔認証を実現する「Face ID」を搭載。発表会では多くの時間を割いてその能力をアピールしました。

　果たして、スマートフォンに「指紋」や「顔」を握られてしまっていいのでしょうか。世間を騒がせている“標的型攻撃”がAppleやGoogleを狙ったとき、私たちの生体情報が漏えいしてしまうことはないのでしょうか？　この点に関しては、若干楽観的に考えてもいいのかもしれません。

「スマホで指紋認証」の誤解

　まずは、既にスマホにも浸透しつつある「指紋認証」を考えます。指紋をもとに、あなたがあなたであることを判断するのですから、当然ながら「あなたの指紋情報」が記録されているはずです。指紋は外国での入国管理でも利用されるほどのもので、おおっぴらには知られたくないセンシティブな情報のはず。しかも替えが効きませんので、その情報は絶対に漏れては困ります。そんなものを、スマホで管理していいのでしょうか。

　この点に関しては、私は「スマホで指紋認証を利用しても大丈夫」と楽観的に考えています。その理由は、スマホにおける指紋認証は「特徴」だけを記録している上に、その情報を「端末の外に出さない」としているからです。

　まず、特徴という点を解説しましょう。指紋をチェックするときに、スマホはあなたの指紋そのものと、指紋の「画像」を比較しているわけではないのです。そもそも、スマホの中には指紋の画像そのものを保存していません。

指紋の特徴点の説明（富士通より）

　保存しているのはあくまで指紋の特徴、例えば凸部分が枝分かれする「指紋の分岐点」や、凸部分が行き止まる「指紋の端点」、3本の凸部分が集まる「指紋の三角州」などの情報のみです。そのため、スマホに保存されている情報から、指紋そのものを復元することはできません。例えば、生体認証に力を入れている富士通は、「指紋センサー」の説明ページを公開しています。

　さらに、指紋の特徴点情報も厳重に保管しています。iPhoneの場合、指紋情報はプロセッサ内の「Secure Enclave」と呼ばれる特別なエリアに保管され、そこへのアクセスは制限されています。その上、この情報はインターネット上に流れることはなく、バックアップすらされません。指紋データが端末の外には一切出ないことがアピールされています。

指紋情報の保管について（Appleサポート）

　ここからも、生体認証の鍵となる情報が大切に扱われていることが分かります。そのため、最低限「特徴点だけを保存する」「保存された特徴点が端末から出ない」の2点がクリアされていれば、個人的には生体認証を使ってもいいのではないかと思います。ただし、その機能を提供する企業がしっかりとした情報開示を行っているかどうか、セキュリティポリシーやプライバシーポリシーが分かりやすく提示されているかは確認しておくといいでしょう。

生体認証は「突破」できる？

　　　　　　 1|2 次のページへ