• 東京都品川区西五反田2-13-6 セラヴィ五反田ビル7階
  • 03-6417-9411
    (平日10時~18時)

生体認証とセキュリティ

1.はじめに

さまざまなサービスに活用されるITシステムでは、不正な利用者(管理者を含む)が正規の利用者になりすまし、システム上の記録情報(例えば利用者のプライバシー情報)を盗んだり、機器に不正な動作を引き起こしたり、通信路のデータを盗聴し情報を盗む可能性があります。 これらのなりすましや盗聴への対策として、利用者や機器の認証や情報の暗号化の仕組みが導入されており、利用者の認証には、ID・パスワード、ICカード、生体認証などが利用されています。

ID・パスワードは利用者の設定や不適切な管理に起因する盗用により被害を生じる危険性があります1)。 さらに、適用サービスの増加やパスワードの複雑化や定期更新などの運用の複雑化が指摘されています2)
これに対し、生体認証は記憶が不要で生体を認証機器に提示するだけでよいという利便性から、スマートフォンの認証やFIDO (Fast IDentity Online) 技術を適用したFinTechへの応用など新サービスの利用者認証として活用されはじめており、皆様は多くの場面で目にされていると思います。

2.生体認証の性能指標とセキュリティ

生体認証は、記憶している利用者の生体情報の特徴量と生体認証機器に提示された人から取得する生体情報の特徴量を比較し、その両者の類似性を見て提示した人を登録している利用者か否かを判定しているものです。 この時、両者の類似性を表す値(類似度)は、提示のたびに多少バラついており、利用者本人が提示された場合の類似度は類似性の高いことを示すところに分布し、他人が提示された場合は低いところに分布しています。 その類似度の分布に対して判定のための閾値を設け、提示された生体情報の類似度がその閾値以上ある場合に登録している利用者であると判定しています。
そのため、パスワードのように完全な一致/不一致の判定しているのではなく、類似度が閾値を超えているか/超えていないかで判定しているため、生体認証の性能指標は類似性の分布と設定する閾値に依存した統計的な値となっています。

生体認証の性能指標には、誤って本人を拒否(利用者でないと判定)する比率を示す本人拒否率(FRR (False Rejection Ratio))、誤って他人を受け入れる(利用者であると判定する)比率を示す他人受入率(FAR (False Acceptance Ratio))と利用者を登録できない比率を示す登録未対応率(FTER (Fail To Enroll Ratio))があります。
運用の観点では、FRRは利便性を、FARはセキュリティ性を、FTERはシステムとして生体認証以外の利用者認証を用意する必要性を考える際の指標です。
特にセキュリティの観点では、FARとFTER性能を見極めることだけでなく次の事項についても考慮する必要があります。
・正しい生体情報登録を担保する運用方法
・偽造物による攻撃への耐性
・認証処理部に対する攻撃への耐性
また、市場では次の懸念も言われています。
・生体情報盗難による生体使用不可リスク
・生体情報の管理上の懸念

2.1 正しい生体情報登録を担保する運用方法

生体認証では、正規の利用者を正しく認証するためには、正規の利用者の生体情報が正しく登録されていることが前提のため、不正な生体情報の登録を防止するために、システム管理者の立会いの下で生体情報を登録する運用方法が勧められています。
これは、運用管理者のいるビジネス用途では適用されていますが、利用者自身が機器やシステムを管理するコンシューマ用途やネットワーク環境下での登録に適用することは困難と言われています。
この点では、金融機関等による非対面取引での本人確認の考え方3)と同様に、モバイル機器を使って提供するサービスなどでは、生体情報の登録時に本人しか知り得ない(一時)情報を書留郵便等により転送不要郵便物等として提供し、その確認で本人確認する運用方法や、オンラインによる本人確認4)が見られるようになってきています。

2.2 偽造物による攻撃への耐性

生体認証への攻撃の一つとして、悪意を持つ利用者の協力あるいは不正に入手した生体情報から偽造物を作り、それを提示して正規の利用者になりすます攻撃が知られています。
生体情報には、センサーで読み取った生体情報と認証のために加工し記録している生体情報(特徴量)(テンプレート)の二種類があります。 多くの生体認証機器では、前者は暗号化や処理後の廃棄、後者は暗号化や耐タンパ領域への格納などの仕組みで盗難対策されています。
また、偽造物による攻撃への対策として、生体検知機能あるいはPAD (Presentation Attack Detection) 機能が組み込まれている生体認証機器も多く見られます。
セキュリティ性の観点では、生体認証機器のこの種の偽造物による攻撃耐性を見極めることが重要であり、国内ではみずほ情報総研(株)などの評価機関が第三者評価を行っています。

2.3 認証処理部に対する攻撃への耐性

生体認証でも一般のIT機器と同様に、生体認証機器の認証処理部を乗っ取って正規の利用者になりすます攻撃が考えられます。 その対策として多くの生体認証機器で、IT機器の攻撃対策と同様に、処理部に暗号化の仕組みを組み込んだり、耐タンパ性を持たせたりするなどの対策が取られています。
このほかに、暗号化したテンプレートを復号せずに認証を行う技術(テンプレート保護技術)5)や仮に暗号化テンプレートが盗まれても暗号鍵を変更して攻撃に対抗する技術(キャンセラブル技術)も開発されており5)、盗難にあっても悪用されない対策をとっている機器もあります。

2.4 生体情報の盗難による生体使用不可リスク

生体認証では生体情報が盗まれることで生体が使用できなくなるリスクがあると言われています。 セキュリティ上、これは盗難生体情報から作られた偽造物で認証されてしまうリスクと同等と考えて良く、自分たちが使用する生体認証機器だけでなく、世の中で使用される生体認証機器の生体情報の盗難と偽造物攻撃への対策・耐性を見極めていくことが重要です。

2.5 生体情報の管理上の懸念

生体認証では生体情報の取り扱い、特に個人情報としての取り扱いをどのように考えればよいのかについて明確な基準がない期間が続いていました。 しかしながら、2017年5月30日に全面施行された改正個人情報保護法の中で生体情報は個人識別符号とされ、個人情報として取り扱う管理基準が明確になりました。
さらに、個人情報保護委員会のガイドライン6)の中で、テンプレート保護技術を施した個人識別符号が漏えいした場合は個人情報保護委員会等への報告は不要と考えられるとの見解が記載されており、報告義務のない仕様についても基準が示されています。

3.セキュリティ向上への提案

生体認証機能を提供する際は、システムの用途と要求されるセキュリティ性に応じて2節で述べた各点を見極め、生体認証機器を選択していただきたいと思っております。


参考文献

 1) 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況について 2017/3 経済産業省
  http://www.meti.go.jp/press/2016/03/20170323002/20170323002-1.pdf
 2) パスワード運用はもう限界 2013/1 日経コンピュータ
  http://itpro.nikkeibp.co.jp/article/COLUMN/20121227/447063/?rt=nocnt
 3) 犯罪収益移転防止法の概要 2016/1 JAIFIC
  http://www.soumu.go.jp/main_content/000441911.pdf
 4) オンラインによる対面認証サービス 2017/2 DDS
  https://www.dds.co.jp/news/2427/
 5) 生体情報のプライバシーを守るテンプレート保護型生体認証技術 JASI 2013 3L3-OS-06b-2 大木哲史 他
  https://kaigi.org/jsai/webprogram/2013/pdf/867.pdf
 6) 「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A 2017/5 個人情報保護委員会
  https://www.ppc.go.jp/files/pdf/kojouhouQA.pdf


本記事の著者

酒井 康夫
一般社団法人日本自動認識システム協会

著者略歴

1954年12月生まれ。1980年 (株)日立製作所入社
2010年9月より、現職、研究開発センター センター長


2018年05月09日
関連記事

静脈認証で安全・便利な社会を実現