私たちの「顔情報」はどう守られている？ 生体認証のハナシ：今さら聞けない「認証」のハナシ（1/5 ページ）

専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「生体認証」の顔認証について。

[鳥羽信一，ITmedia]

　ほとんどの人が日常的に行っている、ログイン（サインイン）などの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側が対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。

　本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。

連載：今さら聞けない「認証」のハナシ

専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。

執筆は、業務用の「トークンレス・ワンタイムパスワード」認証システム「PassLogic」や、一般向けにパスワード管理アプリ「PassClip」を提供する認証セキュリティ専門企業、パスロジの鳥羽信一氏。

（編集：ITmedia村上）

　前々回の記事では生体認証の基本的な考え方について紹介しました。今回は認証に使用する身体的特徴データの保管について、顔認証に焦点を当ててまとめました。

　また、こちらの記事執筆にあたって、「Bio-IDiom」ブランドで生体認証技術をリードしているNECの顔認証システム「NeoFace」の担当者にインタビューし、実際の顔認証の仕様について確認しています。

生体認証情報の漏えいが発生（したかも）

　先日、韓国の生体認証システム開発会社Supremaが保管しているデータが、外部からアクセスできる状態になっていたという報道がありました。

• Major breach found in biometrics system used by banks, UK police and defence firms（The Guardian）
• Report: Data Breach in Biometric Security Platform Affecting Millions of Users（vpnMentor）

　パスワード情報の漏えいは、残念ながら珍しくなくなってしまいましたが、生体認証用の身体的特徴データの漏えい（の可能性）も、ついに発生してしまったのです。

　記事によると、アクセスできた情報には、平文のままの氏名・ID・パスワード、利用者の住所やメールなどの個人情報、機密エリアへの入出許可レベルと入出記録、利用端末とOS、そして指紋データと顔認証用の情報、顔画像が含まれていたそうです。

　このようなセキュリティ関連企業が、パスワードの暗号化やハッシュ化を施していなかったというのも驚きです。この身体的特徴データが漏えいしたとすれば、そのデータは管理された状態に戻せません。

　そして、身体的特徴はパスワードのように簡単に変更できません。利用者の身体的特徴データは、今後どこかで使われる可能性が出てきます。しかも、顔画像と個人情報が含まれているので、それらをひも付けて利用されてしまうかもしれないのです。

　これが身体的特徴データをサーバに預けることの恐ろしさです。iPhoneのTouch IDやFace ID、Windows Helloなど、端末へのログインに使用する生体認証では、身体的特徴データが端末上にとどまっているので大丈夫です（端末が乗っ取られていないことが前提）。

　しかし、インターネットを通じて身体的特徴データを送信した場合は、どこかのサーバにデータが保存されています。個人情報を一緒に登録していれば、その情報も含まれます。さらに、そのサービスで何を利用していたかという情報も一緒に預けていることになります。