多要素認証の必須化が進む今、なぜ「顔認証」が注目されているのか？：導入事例に学ぶ生体認証の利便性

サイバー攻撃の高度化によって「パスワードだけで守る」時代は終わりつつある。多要素認証の需要が増す中、本人である保証を高める“生体認証”が注目されている。なぜ今、生体認証なのか、認証方式の違いや活用事例からメリット・デメリットを読み解く。

PR／ITmedia

PR

　ランサムウェアや不正アクセスによる被害が深刻化している。大企業だけでなく中小企業も標的となっている他、子会社や取引先を経由した攻撃も拡大しており、サプライチェーン全体の保護が必要だ。

　これらへの対策として比較的容易に導入できるのが多要素認証だ。各省庁のガイドラインでも多要素認証の導入が求められるようになり、企業や組織の対応は急務となっている。

　指静脈認証で20年以上の実績を持つ日立ソリューションズは、2024年から顔認証への対応を本格化させた。同社の堀祐二氏と中瀬将哉氏に、顔認証が選ばれる背景と認証ソリューションの特徴を聞いた。

なぜ今、多要素認証が求められているのか？

　ランサムウェアや不正アクセス被害に遭う原因は主に3つある。1つ目はVPN（Virtual Private Network）機器やリモートデスクトップなどの脆弱（ぜいじゃく）性や設定不備を突かれるケース。2つ目は取引先などを装った電子メールによる攻撃。3つ目がID／パスワードの漏えいや使い回しだ。堀氏はそれぞれの対策について次のように説明する。

日立ソリューションズの堀祐二氏（セキュリティプロダクト本部 セキュリティプロダクト第3部 技師）

　「1つ目の対策としてVPN機器のファームウェアの更新やゼロトラストネットワークの導入などが考えられますが、相応の費用と期間を要します。2つ目の対策には、定期的な従業員教育によるITリテラシーの向上が挙げられますが、成果が出るまでには時間がかかります。そして3つ目の対策として有効なのが、多要素認証です。どれも必要な対策ですが、多要素認証は他の対策より比較的容易に導入でき、短い時間で効果が期待できます」

　認証には3つの要素がある。パスワードや暗証番号といった「知識による認証」、ICカードなどの「モノによる認証」、指紋や顔などの「ヒトによる認証」だ。これらを2つ以上組み合わせるのが多要素認証だ。

　多要素認証が注目される契機となったのは、2016年に総務省が「自治体情報システム強靭性向上モデル」を策定したことだ。マイナンバー利用事務系のPCで多要素認証が必須となり、全国の自治体で導入が一斉に進んだ。

　その後の総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和7年3月版）」にも、多要素認証を「利用しなければならない」と明記されている。また、各省庁からも多要素認証を重視する指針が相次いで発出されており、2023年の厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」では、2027年度時点で稼働が想定される医療情報システムに二要素認証の導入を要求している。

　2024年の金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」も、重要なシステムへのリモートアクセスには「多要素認証を使用すること」と定める。クレジットカードの会員情報を安全に取り扱うための国際セキュリティ基準「PCI DSS」（Payment Card Industry Data Security Standard）は多要素認証の導入を必須としている。中瀬氏は近年の変化をこう説明する。

日立ソリューションズの中瀬将哉氏（セキュリティプロダクト本部 セキュリティプロダクト第3部 ユニットリーダ）

　「ここ数年で一気に『多要素』『二要素』というキーワードが見られるようになりました。従来は『推奨する』という表現だったものが『利用しなければならない』『導入すること』と強い表現に変わっています。さまざまな業種で多要素認証への対応は避けて通れない状況になりつつあります」

主な生体認証方式それぞれのメリット／デメリット

　多要素認証の組み合わせは、パスワードとICカード、もしくはパスワードと生体認証が一般的だ。生体認証はICカードのように紛失するリスクがない点、なりすましができない点にメリットがある。生体認証の代表的な方式としては指紋認証や指静脈認証、顔認証がある。

　指紋認証は古くから存在し、スマートフォンでも広く使われているため、多くのユーザーにとってなじみ深い。PCなど外付けで読み取り装置が必要な場合も小型かつ安価なので導入しやすい。ただし指先の傷、乾燥、湿り気などで認証が通りにくくなるデメリットがある他、指紋は犯罪捜査のイメージがあり心理的な抵抗を示す人もいる。

　指静脈認証は指の静脈パターンを近赤外線で透過撮影し、事前に登録したパターンと照合して個人を認証する方式だ。指内部の情報を使うので手荒れや汚れ、乾燥などに影響されず、指紋認証よりも精度が高い。デメリットは指紋認証用よりも読み取り装置のサイズが大きく、持ち運びに不便を感じる人がいる点だ。

　顔認証はPC内蔵のカメラで顔を撮影し、登録済みの顔データと照合して本人確認する。中瀬氏はそのメリットを次のように説明する。

　「最近のPCにはカメラが標準搭載されているので、それを使えばコストを抑えつつ生体認証を導入できます。読み取り装置を持ち運ぶ不便さもありません。非接触で認証するので共用PCでも衛生面の不安がありません」

　顔認証の精度は、特に光が強過ぎる屋外や、室内でも極端に暗い場所など外部環境に影響を受ける可能性がある。ただしオフィス環境であれば光量が安定しているため、精度も安定する。

　堀氏によると顔認証の需要は高まっており、その背景には複数の要因があるという。

　「スマートフォンやマイナンバーカードの健康保険証利用（マイナ保険証）での顔認証の利用が拡大し、ユーザーは顔認証に慣れ親しんでいます。AIによって認証の精度とスピードが上がり、使いやすさも向上しています。企業でもテレワークなどで使うPCの認証を強化したいが外付けの読み取り装置は持ち運びしたくないというニーズがあり、デバイスレスで導入できる顔認証の引き合いが増えています」

顔や指静脈など多様な方法に対応する日立の認証ソリューション

　こうした需要の高まりを受け、日立ソリューションズは用途や環境に応じて選択できる3つの認証ソリューションを提供している。

　主力製品の「AUthentiGate」は、生体認証情報やICカードの認証情報とユーザー情報を一元管理し、認証要求を統合的に処理するオンプレミス型のソフトウェアだ。「Windows」や業務アプリケーションへのログイン認証から入退室や社内機器の認証まで、認証方式が混在する環境でも一元的に管理できる。

　堀氏は「AUthentiGateは約20年にわたって提供している製品で、その間に顧客のニーズを反映させながら進化させてきました。日立グループはもともと指静脈認証で高いシェアを持ち、AUthentiGateも指静脈認証に対応していましたが、2024年から顔認証にも対応範囲を広げました」と説明する。

　顔認証に対応したことで、オフィス以外でも出張やリモートワークなどさまざまな場所で使用されるPCの認証を強化したいというニーズに応えられるようになった。カメラを搭載したPCがあれば読み取り装置を別途購入する必要がないため、コストメリットも期待できる。

AUthentiGateの特長（提供：日立ソリューションズ）《クリックで拡大》

　AUthentiGateと連携してシングルサインオン機能を提供するのが「Single Sign-On Manager」だ。業務では通常、複数のアプリケーションを使用するため、その都度ID／パスワードを入力する手間が発生する。Single Sign-On Managerを導入すれば、顔や指静脈で一度認証するだけでWindowsにも業務アプリケーションにもログインできる。パスワードを覚える必要がなくなり、入力の手間も削減できる。

Single Sign-On Managerの特長（提供：日立ソリューションズ）《クリックで拡大》

　「Biometric Signature Sign-in Service」は、2022年にリリースされたクラウド型の認証ソリューションだ。クラウドサービスなのでサーバ構築も不要で導入・運用の手間を軽減できる。SAML（Security Assertion Markup Language）対応のクラウドアプリケーションと連携したシングルサインオンも可能だ。堀氏によると、特長は日立製作所が特許を持つPBI（Public Biometric Infrastructure：公開型生体認証基盤）技術を採用している点だという。

　「通常の生体認証は、顔や指静脈の特徴を暗号化してサーバに保存します。この方法では、暗号化データが漏えいした場合に悪用されるリスクが残ります。これに対してPBI技術は、顔や指静脈の特徴から秘密鍵と公開鍵のペアを生成し、その公開鍵だけをクラウドに保存します。公開鍵は、公開することが前提に設計されているため、他の生体認証情報とは異なり漏えいしてもセキュリティ上の問題はありません」

Biometric Signature Sign-in ServiceのPBI技術とは（提供：日立ソリューションズ）《クリックで拡大》

　生体情報自体はどこにも保存されないためユーザーのプライバシーへの懸念も解消できる。共用端末での認証にも対応し、PC更新時に生体情報を再登録する手間がかからないといった利点もある。

顔認証導入事例から学ぶ活用の可能性

　3製品はいずれも自社開発のため、要件に応じたカスタマイズが可能だ。中瀬氏はAUthentiGateでの対応例を挙げる。

　「PCI DSSに対応するために多要素認証が必要なお客さまがいました。標準的な方法では導入できない環境だったのですが、認証のタイミングを変更するなど柔軟にカスタマイズして対応しました」

　顔認証の導入事例も増えている。製薬業界のある企業は、医薬情報担当者が機密情報や顧客情報を扱うためにPCの認証強化が必要だった。自社・顧客先の病院・自宅などにPCを持ち込んで使用することが多く、外付けの読み取り装置は避けたいというニーズもあった。PC内蔵カメラを使った顔認証がその要件に合致し、約1200台のPCにAUthentiGateを導入した。

　2万人以上の学生がいる教育機関は、Biometric Signature Sign-in Serviceを導入している。PBI技術によって顔情報がクラウドに保存されない点がセキュリティ面で評価され、教職員が利用する端末の認証に採用された。

　導入期間の目安はAUthentiGateが3〜6カ月程度、Biometric Signature Sign-in Serviceが3カ月程度だ。今後の展望について中瀬氏はこう語る。

　「当社の認証ソリューションは、API連携を使ってお客さまのアプリケーションと連携するなど、さまざまな使い方ができます。工場で検品責任者が顔認証するだけで検品した際の手続きを完了するような仕組みも実現可能です。サイバー攻撃対策としてはもちろん、お客さまと共に新しい使い方を創れる基盤だと考えています」

　堀氏は顔認証の位置付けを改めて強調する。　「サイバー攻撃対策として多要素認証は有効ですし、認証強化の手段として顔認証も普及しつつあります。当社は認証方式の選定からID管理まで幅広く提案できますので、ぜひご相談ください」

　不正アクセスやランサムウェアの被害は、社会的な信用を失うなど経営に直結する課題に発展しかねない。こうしたリスクに対し、比較的容易に導入できる多要素認証は、効果が高く有効な手段だ。日立ソリューションズの認証ソリューションであれば、セキュリティ強化だけでなく、API連携による業務効率化を視野に入れた柔軟な活用も可能だ。

　生体認証はビジネスを「守る」だけでなく「効率化」する時代へ。企業は今、認証基盤の見直しを検討するタイミングに来ているのではないだろうか。