ITmedia NEWS > セキュリティ >
連載
» 2017年10月05日 07時00分 公開

ITりてらしぃのすゝめ:「iPhone X」の顔認証は指紋より安全? 「生体認証」のキホンと誤解 (1/2)

「iPhone X」で搭載される顔認証機能「Face ID」は、指紋認証の「Touch ID」と比べて安全なのか? 生体認証の基礎知識を学んでいきましょう。

[宮田健,ITmedia]

唯一無二の「自分」を証明する方法

 2016年6月、人生初の上海旅行に行ったときのこと。オープンしたばかりの上海ディズニーランドでちょっと驚いたことがありました。滞在2日目に入り口のゲートでチケットを渡すと、なんと自分の顔がモニター上に映っていたのです。

 2日間有効のチケットを他人に譲渡しないための施策だと思いますが、目視による顔認証をしていることよりも、「いつ撮影したの?」と本当に驚きました。後日確認したところ、バーコードスキャナーにカメラが内蔵されていることが分かり、自然に顔情報を取得していることに感心しました。

 日本においても、テーマパークで顔認証を行い、まさに「顔パス」を実現している事例もあります(関連リンク)。そこで今回は、顔や指紋などを使って個人を認証する「生体認証」の基礎と、その「誤解」を解いてみましょう。

連載:ITりてらしぃのすゝめ

「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。


「生体認証って怖くない?」

 「生体認証は怖いから嫌い」と感じている人も多いのではないかと思います。上海ディズニーランドの事例は入園者の顔写真データそのものを保持しています(これは米国のディズニーランドでも同様で、長期間利用できるチケットを購入している場合は、入園初日にスマホで顔を撮影し、記録しています)。これを元に、本人確認を行うわけです。テーマパークのような場所であればこの方法もアリですね。

 しかし、生体認証がなんとなく怖いと思う根源は、やはり「替えが効かない」という点にあると思います。万が一、生体認証の鍵となる「顔」や「指紋」の情報が漏れてしまったとしても、パスワードのように「変更」が効くわけではありません。それに、顔や指紋が誰かに保持されていることは、純粋に気持ち悪いと思うかもしれません。

X 「iPhone X」は顔認証を採用

 そんな生体認証が、最近スマートフォンで活用されつつあります。iPhoneは5s以降から指紋認証機能「Touch ID」を搭載しており、Androidでも多くのハイエンド機種で指紋認証が使えるようになりました。さらに、Appleは11月発売予定の新機種「iPhone X」(テン)にて、顔認証を実現する「Face ID」を搭載。発表会では多くの時間を割いてその能力をアピールしました。

 果たして、スマートフォンに「指紋」や「顔」を握られてしまっていいのでしょうか。世間を騒がせている“標的型攻撃”がAppleやGoogleを狙ったとき、私たちの生体情報が漏えいしてしまうことはないのでしょうか? この点に関しては、若干楽観的に考えてもいいのかもしれません。

「スマホで指紋認証」の誤解

 まずは、既にスマホにも浸透しつつある「指紋認証」を考えます。指紋をもとに、あなたがあなたであることを判断するのですから、当然ながら「あなたの指紋情報」が記録されているはずです。指紋は外国での入国管理でも利用されるほどのもので、おおっぴらには知られたくないセンシティブな情報のはず。しかも替えが効きませんので、その情報は絶対に漏れては困ります。そんなものを、スマホで管理していいのでしょうか。

 この点に関しては、私は「スマホで指紋認証を利用しても大丈夫」と楽観的に考えています。その理由は、スマホにおける指紋認証は「特徴」だけを記録している上に、その情報を「端末の外に出さない」としているからです。

 まず、特徴という点を解説しましょう。指紋をチェックするときに、スマホはあなたの指紋そのものと、指紋の「画像」を比較しているわけではないのです。そもそも、スマホの中には指紋の画像そのものを保存していません。

指紋 指紋の特徴点の説明(富士通より)

 保存しているのはあくまで指紋の特徴、例えば凸部分が枝分かれする「指紋の分岐点」や、凸部分が行き止まる「指紋の端点」、3本の凸部分が集まる「指紋の三角州」などの情報のみです。そのため、スマホに保存されている情報から、指紋そのものを復元することはできません。例えば、生体認証に力を入れている富士通は、「指紋センサー」の説明ページを公開しています。

 さらに、指紋の特徴点情報も厳重に保管しています。iPhoneの場合、指紋情報はプロセッサ内の「Secure Enclave」と呼ばれる特別なエリアに保管され、そこへのアクセスは制限されています。その上、この情報はインターネット上に流れることはなく、バックアップすらされません。指紋データが端末の外には一切出ないことがアピールされています。

指紋 指紋情報の保管について(Appleサポート

 ここからも、生体認証の鍵となる情報が大切に扱われていることが分かります。そのため、最低限「特徴点だけを保存する」「保存された特徴点が端末から出ない」の2点がクリアされていれば、個人的には生体認証を使ってもいいのではないかと思います。ただし、その機能を提供する企業がしっかりとした情報開示を行っているかどうか、セキュリティポリシーやプライバシーポリシーが分かりやすく提示されているかは確認しておくといいでしょう。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.