生体認証が本格的な普及期を迎えている。「生体認証の広がりは必然から来ている。一過性のブームでは終わらない。コンピュータの処理能力向上やセンサーのコスト低下によって,ようやく商品として提供できるレベルになったのが,今の状態。これから市場が立ち上がるだろう」(セコムIS研究所先端研究ディビジョンの池野修一マネージャー)。
安全というイメージも広まりつつある。2005年8月26日付の『日本経済新聞』によると,3大都市圏で金融機関の安全対策に対する評価を調査したところ,「安全対策」と「安全対策充実度のイメージ」で,生体認証をいち早く導入した東京三菱銀行の評価が2位以下を大きく引き離してトップだった。
ただ一方で,急速に立ち上がった技術だけに誤解や課題が少なくないのも事実である(別掲記事「銀行が採用した静脈認証は安全性の検証が必要」参照)。「生体認証を“究極のセキュリティ”などという人がいるが,それは違う。本質は,セキュリティ強度と利便性を柔軟に調節でき,ユーザーが求めるセキュリティ・レベルに応じて導入できる点にある」(早稲田大学理工学部コンピュータ・ネットワーク工学科の小松尚久教授)。
イメージ先行で盛り上がっている点を懸念する声もある。「ICカードや生体認証を導入したからといってすべてが安全になるわけではない。実際にそれらのサービスを使っている人はまだ少ない。多くの人は安全になったような気がしているだけ」(日本銀行金融研究所の岩下直行情報技術研究センター長)。
期待と懸念が入り交じっているが,いずれにせよ生体認証に熱い視線が集まっているのは事実。以下,生体認証の現状,技術動向,問題点について見ていく。
突然身近になった生体認証
生体認証は,生体の一部や動作の特徴を使って本人を識別する認証方式のこと。バイオメトリクスとも呼ばれる。その普及は関係者が驚くほど早い。かつては研究所など高いセキュリティが要求される施設で使われることがほとんどだったが,身近なものになってきた。
例えば多くの人が利用する銀行ATMに導入された。2004年9月,東京三菱銀行が大手都市銀行では初めて生体認証をATMに採用すると発表*1。他行も相次いで追随した。2005年6月に金融庁が設置した「偽造キャッシュカード問題に関するスタディグループ」の最終報告書によると,全銀行のうち17%の銀行が,今後生体認証を導入するという(予定を含む)。またパスポートは,ICカード化した際に生体情報(顔のデータ)を格納することが決まっている。成田国際空港では生体認証を使った実証実験が2002年から数回実施された。
銀行が採用した静脈認証は安全性の検証が必要
|
 |
現行の磁気ストライプを使うキャッシュカードは,セキュリティ面でのぜい弱性が指摘されている。磁気ストライプ・カード自体の偽造が簡単なこと,そして4桁の暗証番号に推測されやすいものを設定している場合が多いからだ。偽造・盗難キャッシュカードで預金を引き出されたという被害は,2003年以降急激に増えた。全国銀行協会の調査によると2002年度は1600万円だったのが2003年度には2億9000万円,2004年度は9億6800万円にのぼっている。
偽造・盗難キャッシュカード犯罪の被害額が増えているとはいえ,クレジットカードの不正利用による被害額約180億円(2004年度)に比べればはるかに低い。キャッシュカードの被害が取りざたされたのは,被害が直接個人に降りかかるからだ。クレジットカードには保険がかかっているので,個人は直接被害者にはならない。キャッシュカードはごく一部を除き,保険はかかっていない。
こうした偽造・盗難キャッシュカード問題に対し,救済策が講じられた。2006年2月から施行される預金者保護法である。被害額の補償を銀行側に義務づけるため,銀行にとっては大きな負担になりかねない。このための対策がICカード化によって偽造を防ぐことと,生体認証の併用によってなりすましを防ぐことだった。
だが,生体認証には生体情報を使うがゆえの宿命がある。生体情報はアナログ情報であり,どれくらい似ているかでしか判断できないことだ。他人を受け入れる比率を低くすると,本人を拒否する確率が高くなる。
銀行が採用した静脈認証は,体内にある情報を使うため指紋のように残留することはなく,またセンサーに接触しないため利用者の抵抗感が少ないことがポイントとなった。だが静脈認証は,技術が確立したのがここ10年くらいで,精度や相互運用性が十分だとは言えない。どれくらい万人不同であり,どれくらい終生不変か検証されていないのではないか。偽造による攻撃についても,可能性は否定できない。
そうした不安要素について,今こそ関係者が話し合うべきタイミングだ。偽造の技術的な可能性や,生体検知はどこまで有効かといった既知の脆弱性の検討だけでなく,未知の脆弱性が発見された場合,それに対応できるような体制を整えるべき。エンドユーザーが安心して生体認証を利用できるよう,安全性を説明し信用を得ることが大切である。(談)
