私が本人です---バイオメトリクス認証への期待

小松原健

2001.03.30

　「私が本人です」---。本人にしてみれば，だれがなんと言おうとも本人なのである。とはいえ，それを証明しなければならない場面が少なくない。相手と対面する場合には通常，免許証やパスポートなどを見せることで本人であることを証明する。つまり，免許証などの写真と同じ顔であることで本人であることがわかる。

　インターネットでもこれと同様な本人確認の技術が実用化されてきている。バイオメトリクス（生体情報）認証である。人の身体的特徴やくせなどのバイオメトリクスをチェックして本人かどうかを確認する技術である。このバイオメトリクス認証技術が進歩し，普及していくことに期待する。

　とくにインターネットでは，本人確認，つまりユーザー認証がなかなか難しい。現在，ネットワーク世界のユーザー認証は，ユーザーIDとパスワードやワンタイム・パスワード（システム），ディジタル証明書などが利用されている。しかし，これらはパスワードという特別な“合い言葉”を覚える，ICカードといったモノやデータを持ち歩くという作業が必要になる。

　これを忘れると，たとえ本人でも，本人として認めてもらえない。また，これらが第三者の手に渡ると，他人が本人の振りをする，いわゆる“なりすまし”が簡単にできてしまう。つまり，本人の証明であるデータやモノなどをきちんと管理しなければならず，ユーザーにとって煩わしいことである。

　その点，バイオメトリクス認証は，基本的にユーザーはパスワードを設定してそれを覚えるというような手間は不要である。本人でありさえすればいいからだ。指紋をスキャナで読み取らせたり，声を出したり，あるいはタブレット上に手書きのサインをしたりするだけで本人であることを証明できる。

　現在，ユーザー認証として実用化されているバイオメトリクスには，指紋や音声（声紋）や掌紋，顔，虹彩（こうさい：瞳のまわりにある筋肉の模様）といった身体的特徴，サインといったくせなどがある。国内外のメーカーが製品を出荷している。ほかにも，キーボード入力のリズムをチェックするなど，さまざまなバイオメトリクス認証技術の開発が進められている。

　ユーザーによって向き不向きがあるというバイオメトリクス認証の課題を解決するシステムも登場している。バイオメトリクスは，身体的特徴などを利用するため，個人の特徴があまり明確でない場合，認証率が高くないという課題がある。たとえば，指紋は，体質や業務などによってスキャナで指紋がうまく読み取れない人がいる。そういった人は，ID/パスワードといった従来型の認証方式を頼らざるを得なかった。

　ところが最近，複数種類のバイオメトリクスを利用できるマルチバイオメトリクス認証システムが登場した。富士通サポート＆サービスやネットマークスが販売している。いろいろなメーカーが開発した指紋や音声などのバイオメトリクス認証システムを統合的に運用管理するための製品である。ユーザーごとに好みや用途によって，認証に使うバイオメトリクスを選択できる。指紋が使いづらければ，顔などを認証に使うことができる。

　もっとも，マルチバイオメトリクス認証システムは，使用するバイオメトリクスによって認証精度が異なるため，ユーザーによってセキュリティ・レベルが違ってしまうという課題がある。それぞれの精度は向上してきているものの，種類によって100倍以上の開きがあるものもある。

　確かにこれは軽視できる問題ではない。しかし，パスワードに比べれば，安全という見方もできる。パスワードは実際には，個々のユーザーの運用次第で，セキュリティ・レベルに大きな差が出る認証方式である。セキュリティの高いパスワードの運用方法は，「推測しにくい文字列を設定し，定期的にそれを変更する」。

　とはいえ，この通りに運用するには，かなりの“スキル”が必要になる。実際には，誕生日やなにかの名前など推測しやすい文字列をパスワードとして設定し，そのまま変更せずに使い続けるというユーザーは少なくないはず。場合によっては，パスワードを手帳やパソコンのデスクトップに書き留めておくことも。つまり，パスワード方式は，ユーザーによってセキュリティ・レベルに大きな差が出るのも事実である。

　この点，バイオメトリクス認証ならば，ユーザーのスキルにあまり依存しない。だれでも一定のセキュリティ・レベルを保てる。操作が簡単だからである。スキャナやカメラなど，バイオメトリクスを入力するための装置が必要になるという難点はあるものの，ユーザー自身が持ち歩く必要はない。操作が簡単であるがゆえ，応用範囲は広い。携帯電話に指紋センサー・チップを実装すれば，実用的なセキュリティ機能となりうる。

　バイオメトリクス認証には，ここに述べていない課題もある。しかし，それは今後，解決あるいは軽減していける課題である。そのためには，もっとバイオメトリクス認証というものに注目し，普及，技術開発というサイクルを活性化する必要がある。少なくとも，「128ビットのSSLを使っているから安全です」と“初心者”向けに宣言しているサイトには，導入を検討して欲しい。