「生体認証ソリューション」はID・パスワード認証に代わる手段となるか？

IDとパスワードによる認証は、情報管理の基本だ。しかしユーザー側・情シス側のそれぞれが、利便性の低下や、運用負荷を感じているのが現状だ。こういった課題を解決する手段として注目されているのが「生体認証」。富士通の「生体認証ソリューション」を例にとり、その有用性を解説する。

[PR／ITmedia]

セキュリティリスク対策に「何」が必要か

　業務PCのパスワード管理を「面倒だ」と感じているビジネスパーソンは少なくないだろう。Windowsやメール、また業務システムにはそれぞれ異なるIDとパスワードが必要だし、「定期的に変更する」「使い回さない」「異なる文字を組み合わせる」といったルールもあるのが一般的だからだ。

　一方、業務PCを管理する側の情シスにも、パスワードの変更対応や忘れてしまった際のサポートなど、運用上の負荷がかかっている。とはいえ「内部関係者による機密データの持ち出し」といったセキュリティリスクを防ぐためにも、対策しなければならないのが現状だ。

　そんな、多くの企業が抱えるパスワード認証の課題をまとめてみよう。

パスワード認証の現状	課題	希望
従業員	・複数のパスワードを覚えられない ・システムごとに異なるパスワード入力が面倒	・利便性の高い認証手段がほしい
情シス	・パスワードの忘却対応や定期変更、ポリシー変更の工数を減らしたい	・セキュリティ強化と利便性向上を両立させたい
経営層	・内部不正や不正アクセスをなくしたい ・個人情報や機密情報の漏えいを防ぎたい	・内部不正や情報漏えいのリスクを解消したい

手のひら静脈認証は、ユーザー名とセンサーが感知した静脈パターンの特徴から本人を特定する仕組みだ。

　こうした課題を解決し得ると注目されているのが「生体認証」だ。例えば富士通では、業界で唯一、専用のサーバとソフトウェア、そして「手のひら静脈センサー」を内蔵したPC／タブレットを提供している。

　手のひら静脈には、「手のひらをかざすだけ」でWindowsや社内の業務システムへログインできるという利便性に加え、本人しか持ちえない「体の中の情報」なので盗まれにくいという特徴がある。またその本数が非常に多く、認証精度が高い。静脈そのものも太いため、他の部位の静脈と比べて寒さの影響が少ないのも特徴だ。

　手のひら静脈センサー搭載のデバイスを導入すると、何がどのように変わるのか。専用サーバ「Secure Login Box」、専用ソフト「SMARTACCESS/Premium」、手のひら静脈センサー搭載デバイス「ARROWS Tab Q775/K（タブレット）」「LIFEBOOK S935/K（ノートPC）」について説明していく。

専用サーバ：「Secure Login Box」の機能と仕組み

専用サーバ「Secure Login Box（FMSE-C421）」。冗長化のため本体2台を1セットとし運用する。さらにHDDも2台内蔵し、データを二重化している。基本の2台構成で最大3000人、最大4台の連携構成で6000人分の認証情報を登録できる

　まずは「Secure Login Box」から見ていこう。同製品は、富士通が開発した「認証に必要なユーザーデータを一元管理するアプライアンス（必要なハードとソフトが一体となった専用サーバ）」だ。付属ユーティリティでIPアドレスなどの設定を行うだけで、既存システムへ導入できる。

　主な機能は「従業員の認証情報（生体情報とID・パスワードをひも付け）とログイン状況を一元管理する」こと。そして、後述する専用ソフト「SMARTACCESS/Premium」や「SMARTACCESS/Virtual」と連携し、従業員に「シングルサインオン」の機能を提供することだ。

　Secure Login Boxは、ユーザー名をキーに、手のひら静脈の情報およびWindowsや業務システムのID・パスワードとひも付けて管理できる。他にも指紋の生体情報やFeliCaカードのIDm（カード固有の番号）も合わせて管理できる。

　また、利用者がいつ、どの業務システムへログインしたか、本人認証時の履歴（ログ）も取得できる。内部不正対策には「認証者本人のログを残す」ことが必要だが、ID・パスワード方式には「なりすまし」のリスクがある。しかし体内情報を利用する手のひら静脈認証なら、なりすましは非常に困難である。

　なお、Secure Login Boxは個人認証のためのアプライアンスであり、セキュリティホールになりやすいインタフェースや汎用的な通信の仕組みは持っていない。Secure Login BoxのHDD内のデータはもちろん、ネットワークを流れる生体情報や各種文字列データも、暗号化して転送される。仮に、業務PCがネットワーク接続されていない状態で認証を行ったとしても、再接続とともにログは自動アップロードされる。

専用ソフト「SMARTACCESS/Premium」「SMARTACCESS/Virtual」の機能と仕組み

「SMARTACCESS/Premium」は、Secure Login Boxと連携してアプリへのID／パスワードの入力を代行する機能を持つ

　「SMARTACCESS/Premium」は、PC／タブレットとSecure Login Boxを連携するソフトウェアである。Windowsや業務システムへのログインについて「専用サーバと連携し、アプリへのID／パスワードの入力を代行」するのがその役割だ。

　社員は、導入時に1回だけ生体情報を登録すれば、パスワード入力なしに手のひらだけで本人の認証ができるようになる。

　手のひら静脈認証は以下のような流れで行われる。

順番	認証の流れ
1	＜従業員と手のひら静脈センサー内蔵PC／タブレット＞手のひらをセンサーにかざす（SMARTACCESS/Premiumのダイアログに手のひらをかざす際、Windowsログオン時に認証したユーザー名が入力される）
2	＜SMARTACCESS＞ユーザー名と生体情報をSecure Login Boxへ送信
3	＜Secure Login Box＞ユーザー名と生体情報を照合し、ID・パスワードをSMARTACCESSへ返信
4	＜SMARTACCESS＞受け取ったID/パスワードをWindowsや業務システムに自動入力し、ログイン

　このように、従業員には利便性を提供しつつ、情シスにとってはパスワード管理の甘さやIDカードの紛失などによる「なりすまし」を防げることが分かる。

（デモ動画）手のひら静脈認証センサーを搭載するタブレット「ARROWS Tab Q775/K」とノートPC「LIFEBOOK S935/K」で手のひら静脈認証を試す。認証時間はほぼ一瞬、快適だ

　「入力したパスワードがPCに残らない仕組み」もポイントだ。インターネットにつながっていれば、外出時も同じ仕組みを利用できるが、オフライン時にもあらかじめSecure Login Boxに保管してあるデータをPCにダウンロードすることで利用できる。なおオフライン時の使用可能期間は、管理者が設定できる。

手のひら静脈情報の登録は1分ほどで済む

　専用ソフトにはもう1つ、仮想環境上でも、Windowsや業務システムに手のひら静脈認証でログインできるようにする「SMARTACCESS/Virtual V1.0L10（注：2015年4月提供開始予定）」が用意されている。対応環境は、VMware Horizon（with View）、Citrix XenDesktop、Citrix XenAppだが、富士通によれば対応環境は増やしていく計画だという。

手のひら静脈センサー搭載デバイス「ARROWS Tab Q775/K」「LIFEBOOK S935/K」のポイント

　次に、手のひら静脈センサーを搭載できるPC／タブレットを見ていこう。ここでは13.3型大画面の防水タブレット「ARROWS Tab Q775/K」と、モバイルノートPC「LIFEBOOK S935/K」の2台を紹介する。

写真左が「ARROWS Tab Q775/K」、写真右が「LIFEBOOK S935/K」

13.3型タブレット「ARROWS Tab Q775/K」

　「ARROWS Tab Q775/K」は、アンチグレア処理（太陽光や照明などの映り込みを低減する表面仕上げ）された高精細なディスプレイを搭載し、LTE（Xi）データ通信モジュールの内蔵（無線WAN搭載モデル）を備えた13.3型のWindowsタブレットだ。

13.3型のディスプレイを備える防水タブレット「ARROWS Tab Q775/K」。約990グラムのボディにより、外出先での作業に向いている

本体右側面に「手のひら静脈センサー」を搭載できる。

　オプションのキーボード・ドッキングステーションや拡張クレードルと組み合わせれば、外付けキーボードやマウス、プロジェクターなどを接続できるため、オフィスではメインPCとしても利用できる。

13.3型モバイルノート「LIFEBOOK S935/K」

　「LIFEBOOK S935/K」は、13.3型サイズで重量約1.21キロ、さらに最大20.2時間（大容量バッテリー＋増設用バッテリー搭載時）動作する、モバイルノートPCである。

「LIFEBOOK S935/K」はLTEデータ通信モジュールを内蔵でき、2560×1440ピクセルの高解像度ディスプレイも選択できる。薄く軽いので携帯しやすい反面、ボディは200kgf天板加圧試験をクリアするほど堅牢なので、満員電車でも安心だ

　LIFEBOOK S935/Kはオフィスワークではもちろん、外出先や出張などのシーンでも利用できる「オールマイティ」な仕様を備えたPCだ。ディスプレイはタッチパネルの有無も選択できる。

キーボードの右下にある2センチ角ほどの黒い部分が手のひら静脈センサーだ。センサーの小型化・薄型化＋手ぶれ対策の強化により、ノートPCに内蔵できた

本人認証は手のひらをかざすだけ。また富士通はセンサー搭載PCに加えて、現在利用中のPC（他社製含む）で手のひら静脈認証ができるようにするため、USBで接続できる外付けのセンサーや、センサーを内蔵したキーボード、マウスを提供している

　こちらのモデルも「手のひら静脈認証センサー」を内蔵するカスタムメイドメニューを用意する。内蔵の手のひら静脈認証センサーと「Secure Login Box」および「SMARTACCESS/Premium」でWindowsや業務システムへのログインを、手のひらをかざすだけで可能にする。つまり「パスワードを管理する必要がなくなる」ということだ。

パスワード認証はもう限界──これを解決するのが「生体認証ソリューション」

　以上が専用サーバ「Secure Login Box」、専用ソフト「SMARTACCESS/Premium」、そして手のひら静脈センサー搭載デバイスの3種類で構成する「生体認証ソリューション」だ。社員は利便性を獲得でき、情シスはID・パスワード認証におけるを回避できる。運用の手間やコストも削減でき、経営層にとっては、自社のセキュリティを強化につながる。企業が抱える悩みだった「パスワード管理の課題」を解決し得るソリューションだ。

　なおSMARTACCESS/Premiumについては、他社製PCに対応しているのはもちろんのこと、今回紹介したような富士通製PC／タブレットであればライセンス料金が半額で済む。

　パスワード認証に限界が見えてきた今、生体認証がそれに代わるソリューションとして、注目を集めることになるだろう。