生体認証はここまで進化した――第一人者、横浜国立大学大学院の松本教授に聞く

「なりすましができない」と言われ注目を集める生体認証技術。この分野に詳しいセキュリティ研究者・松本勉教授に、安全性や最近の動向について話を聞いた。

[PR／ITmedia]

PR

　漏えいのリスクを避けられない「ID／パスワード」の代わりに、指紋や静脈などの「体の情報」で認証――近年、そうしたバイオメトリクス（生体認証）技術で本人確認をするシステムが社会のあちこちで使われつつある。中でも「静脈認証」は体内の情報を用いるため偽造が難しく、“なりすまし”のリスクが低いと言われている。

静脈認証で「誰かが自分になりすます」可能性は？

松本勉教授（横浜国立大学大学院 環境情報研究院 工学博士）

　しかし、攻撃者が誰かの静脈情報を盗み、それを埋め込んだ偽の手などを使って本人になりすます可能性はないのだろうか。例えば「偽造指」や「偽造手のひら」を作ることがもし可能なら、本人になりすました第三者がシステムに不正侵入するリスクなどが考えられそうだ。

　松本教授は「その可能性はゼロとは言い切れない」としながらも、「体の表面の情報を使う生体認証に比べればなりすましは難しい」と話す。例えば、体表情報は普段ユーザーが素手で使っているもの（携帯電話など）からも採取可能だが、静脈情報は基本的に本人からしか採取できない――といったことも理由の1つだ。

実際の指静脈の撮影例（出典：金融取引における生体認証について　撮影：松本研究室）

富士通の静脈認証システム搭載タブレットを試す松本教授。「静脈認証システムは進化しており、導入範囲も広がるだろう。今後安全に活用されるためには、静脈認証システムのセキュリティレベルを第三者機関などが評価するようになっていくべき」と期待する。

　「攻撃者が他人になりすますには、本人の静脈認証を盗み取るステップのほか、その情報に基づき精巧な“人工の手”を作るステップと、それを使って実際に認証を試みるステップの3段階が必要。攻撃する側はこれら3段階を全て成功させないといけないが、守る側はどれか1つでも防げばいい」（松本教授）

　松本教授によれば、静脈認証システム自体もここ数年で進化しているという。「過去の静脈認証センサーでは、本人なのに受け付けてくれなかったり、本人以外の認証情報を受け入れてしまったりする恐れもあった。しかし最近ではセンサー技術の進化によって、かなり実用的になってきている」（松本教授）。ここ数年のセンサーの精度向上や小型化により「今後も導入範囲は広がっていくのでは」と松本教授は話す。

パスワード認証が原因の「なりすまし」や「不正利用」への対策としても有効――企業が取り入れるメリットとは？

　このように普及が期待される静脈認証だが、企業にとってどのような導入メリットが考えられるだろうか。まず考えられるのは、ユーザーのID／パスワード認証に起因して発生する「なりすまし」（リスト型攻撃など）の防止や「不正利用」（内部犯行など）の抑止効果だ。

　例えば、従業員がPCからサーバ側の業務システムにアクセスしようとする際、ID／パスワードだけで本人認証を行うよりも、生体認証による確実性の高い本人認証を行った上で、その生体情報を暗号化した認証データに基づき業務システムにログインする方が、安全性が高まると考えられる。

　実際、最近では静脈認証を取り入れてセキュリティを強化しようとする組織も増えつつあるようだ。例えば銀行では静脈認証を採用しているところも多いが、中でも手のひら静脈認証が持つ「なりすましが難しい」という特徴を生かし、カードレスでも取り引きできるATMサービスを実現した銀行もあるという。

　また、ある行政機関では従来、ICカードを利用していたが、庁舎内の勤怠管理や入退室管理、PC認証といった各システムにアクセスする職員1000人以上の本人認証のために手のひら静脈認証を採用。これにより（1）情報漏えいリスクを生む不正利用の抑止、（2）職員の認証作業にかかる負担軽減、（3）IDカードなどの紛失リスク対策／カード発行コスト削減――などのメリットを同時に実現できたという。

　海外での導入事例も増えている。米国のある病院では「保険証の不正利用防止」のために手のひら静脈認証を採用。またトルコでは、医療費の不正請求を防ぐため、患者が“本当に受診したかどうか”を手のひら静脈認証で確認している。トルコはこの取り組みを国家プロジェクトと位置付けており、全土の医療機関で手のひら静脈認証の導入が進んでいるという。

　このように導入範囲が拡大している背景には、手のひら静脈認証センサー自体の進化も影響しているようだ。例えば富士通は2013年、「世界最小」をうたう手のひら静脈センサーを発表。薄型ノートPCやWindowsタブレットにも内蔵できるようになった。認証速度も、およそ10年前の同社製センサーと比較して約5倍の1秒以下となっている。

Ultrabookやタブレットなど多彩な手のひら静脈認証搭載モデルが登場している（出典：富士通）

　なお企業がPCをリプレースする際には段階的に移行することが多いが、富士通では小型の外付け認証センサー（PalmSecure-SL）も用意しており、センサーを内蔵したPCとそうでないPCが混在する環境でも導入しやすい製品展開をしている。

外付けの手のひら静脈認証センサー。マウスと一体化しているモデルは特に使いやすそうだ（出典：富士通）

　正確な本人認証の重要性が年々高まっている現代でも、世間の認証セキュリティの多くはいまだにID／パスワードに頼っているのが現状だ。こうした中、他人によるなりすましが難しく、利用者の負担も少ない静脈認証システムは、企業における個人認証の新たなスタンダードになる可能性がありそうだ。