キャッシュカードや暗証番号はもう必要ない！？ 手ぶらでの取引・決済を実現する、新しいカタチの生体認証とは？

[PR／ITmedia]

PR

　生体認証だけでATMから現金を引き出したり、キャッシュレスで買い物したりできる――。そんな「手ぶらでの取引」「手ぶらでの決済」の時代が、もうすぐ到来するかもしれない。実現した場合は、ATMにキャッシュカードや暗証番号を入れたり、お店で現金やクレジットカード、バーコードで決済したりする必要がなくなるのだ。

　「セキュリティは大丈夫なの？」「既存の生体認証と何が違うの？」と疑問に思う読者がいるかもしれない。だが近年は、スマートフォンのロック解除でおなじみの「生体認証」技術が発展し、社会全体に応用できる可能性がにわかに高まっている。「生体情報を登録し、管理する」ことに対する不安やリスクを解消できる、安全性の高い技術も発達している。

「手ぶらでの取引・決済」実現に向けた、日立ソリューションズの取り組み

　社会をより便利に変えうる、優れた生体認証技術の1つが、日立製作所が開発した「Public Biometric Infrastructure」（PBI、公開型生体認証基盤）だ。既存の生体認証が抱える課題である、生体情報漏えいのリスクや、認証デバイスの携帯が不可避な点などに配慮した点が特長で、すでに地方金融機関などで導入が始まっている。

　日立ソリューションズは、自社のパッケージソフトウェアである公開型生体認証基盤「Biometric Signature Server」に、いち早くこの技術を採用。オンプレミス・クラウドを問わず、さまざまな環境からPBIを利用できる体制づくりを支援している。

日立ソリューションズの中野信氏（セキュリティソリューション本部 先端セキュリティ開発部 課長）

　Biometric Signature Serverの開発に携わった、日立ソリューションズの中野信氏（セキュリティソリューション本部 先端セキュリティ開発部 課長）は「指紋、指静脈パターン、顔の形状などの生体情報の特徴をデジタル化したデータを、万が一漏れても安心な形で保存するのがPBIの最大のメリットです」と説明する。

　重要な情報が漏れても不正利用の心配がないのはなぜなのか。中野氏は「PBIでは、生体認証とPKI（Public Key Infrastructure：公開鍵暗号基盤）を組み合わせた認証の仕組みを採用しているためです。指紋、指静脈パターン、顔の形状などの生体情報を元に鍵を生成し、安全性の高いPKIの上で取り扱うことで不正利用を防いでいます」と解説する。

　PKIは、公開鍵と秘密鍵を使った「公開鍵暗号方式」という技術と、電子署名技術を組み合わせることで、ネットワーク上での情報のやりとりを安全に行うセキュリティ基盤を指す。マイナンバーカードの電子署名やICカード型の社員証などに導入されている信頼性の高い技術だ。

PBIを利用した認証の仕組み

　PBIを使った認証の流れを具体的に説明しよう。まず、PBI対応のサービスを初めて利用するユーザーから生体情報を取得する。次に、生体情報を基に生成した鍵ペアから公開鍵をサーバに登録する。その後は、ユーザーがサービスを利用するたびに、生体情報から秘密鍵を抽出し署名、署名検証という流れで認証が完了する。

PBIの認証の仕組み （*PBI：Public Biometric Infrastructure、公開型生体認証基盤）

　従来のPKIでは秘密鍵を管理する媒体が必要だったが、PBIでは認証のたびに秘密鍵が生成されるため、“手ぶら”を実現できるというわけだ。

　生体情報から生成した公開鍵には非可逆性があり、公開鍵から生体情報を再生成することは不可能だ。前述の通り、秘密鍵も認証をするたびに生成され、即座に破棄されるので漏えいする心配はない。中野氏が「万が一漏れても安心」と説明した理由はここにある。

　「生体情報をやりとりして認証するのではなく、『鍵』を利用して認証を実施するので、生体情報の管理を行う認証基盤から『生体情報が漏れる』という概念すら存在しません」と中野氏は自信を見せる。

　一連の技術では、身体的な特徴というアナログ情報を収集した上で鍵を生成する。そのため、認証を行う際の環境、体調や加齢による見た目の変化など、認証のたびに取得するデータに差異が生じてしまうが、「PBIはこうした変化に対応するため、揺らぎがあるユーザーの生体情報から一意な鍵を生成する技術を実装しています」と中野氏はいう。

登録した生体情報は差し止めや差し替えが可能

　生体認証とPKIとの組み合わせによるメリットは他にもある。登録済みの公開鍵が、万が一サーバから漏えいした場合は、その公開鍵をシステム側ですぐに差し止められるのだ。差し止めると漏えいした公開鍵は無効化され、認証に使うことはできなくなる。

　公開鍵を無効化した後、ユーザーは生体情報を再登録し、新たな公開鍵を生成する必要がある。この点について、PBIでは生成の際に乱数を調整して全く新しい公開鍵を生成できる。漏えいした公開鍵とは全く異なるものに差し替えが可能なので、安心して認証が行える。PBIは、PKIの安全性をそのまま生かしたシステムなのだ。

PBIを社会のインフラに

　日立ソリューションズは、このように安全性・利便性が高いPBI技術を自社のパッケージソフトウェアであるBiometric Signature Serverに実装し、企業間での生体情報の共同利用を可能にする取り組みを進めている。

　「ユーザーが生体情報を一度登録すれば、サービスの運営元を問わず、PBIを利用した本人確認や決済が可能になる仕組みを作りたいと考えています。将来的に社会のインフラと呼べる存在になることをめざして、現在はさまざまな企業・行政機関を訪問し、ビジョンを説明し認知度をあげ、賛同者を募る活動を行っています」（中野氏）

PBIを社会のインフラとして共通利用するイメージ（*1 PBI：Public Biometric Infrastructure、公開型生体認証基盤）（*2 PKI：Public Key Infrastructure、公開鍵暗号基盤）

　もし、生体認証を利用した「手ぶらでお買い物」を実現しようとした場合に、企業が別々に生体情報の登録を課していたらどうだろうか。コンビニ、スーパー、飲食店、薬局、百貨店、アミューズメント施設……。PBIの導入企業が相互に連携しない場合は、ユーザーは初回利用時にあらゆる店舗で生体情報を登録する手間がかかる。「PBIがクローズドな環境に閉じられていれば、消費者の利便性は下がります。これを避けるためにも、Biometric Signature Serverを広め、多くの企業に協力していただけるよう努力していきます」と中野氏は語る。

　社会インフラとしての普及に向けて、少しでも導入のハードルを下げるためにも、PBIは既存のPKIに組み込む形で導入できる仕様にしている。中野氏は「PKIを導入済みの企業は、認証システムをゼロから再構築する必要はないので、大きなコストメリットがあります」と説明する。

ユーシーカードと「手ぶらキャッシュレス決済」の実証実験を開始

　こうした工夫や取り組みは、他社を巻き込んで徐々に広がり始めている。みずほフィナンシャルグループ傘下のユーシーカードと日立製作所は2019年12月から、PBIと指静脈認証を活用した「手ぶらでの決済」の実証実験を段階的に始めている。

　この実証実験では、ユーシーカードと日立製作所の社員数百人を対象に、クレジットカード番号と指静脈情報をひも付けるユーザー登録を実施。登録した社員は、ユーシーカードに加盟している飲食店など複数の店舗で、指静脈認証のみで決済を行えるようにしている。

実証実験の対象店舗におけるキャッシュレス決済のイメージ

　今回のシステムでは、前述のPBIの特長を生かし、店舗側で生体情報が漏えいするリスクを低減している。ユーザー側も一度の情報登録のみで、複数の店舗で安全かつ迅速な「手ぶらでの決済」が可能となり、双方の利便性向上はもちろん、クレジットカードの不正利用・なりすましなどの防止も実現する。

日立ソリューションズの今後の取り組み

日立ソリューションズの大渕豊氏（セキュリティソリューション本部 先端セキュリティ開発部 技師）

　「キャッシュレス決済など特定の領域はもちろん、社会全体に広がってほしいと願っています。リアルだけでなく、バーチャルなサービスにも提供し、ECなどの認証に使ってもらうことも構想しています。社内では現在、標準化団体などの外部団体との適切な連携方法について議論しています」と同社の大渕豊氏（セキュリティソリューション本部 先端セキュリティ開発部 技師）は明かす。

　現在のPBIは指静脈認証にのみ対応しているが、今後は他の部位を利用した認証にも積極的に対応する予定だ。生体認証を含む、パスワードに依存しない認証の業界標準規格である「FIDO」との連携や、ブロックチェーンを活用したサービスとの連携に対応する計画もあるという。

　こうした機能改善が進み、賛同企業が全国に広がった場合は、日立ソリューションズがめざす「PBIを社会のインフラにする」という目標の実現は近づく。大渕氏は「PBIは世界に通用する、既存技術に対して優位性の十分ある技術です。シリコンバレー発ではなく、日本独自の技術であるPBIを採用したBiometric Signature Serverを、さまざまな分野に届けていきます」と意気込んでいる。