本人認証の有効な手段の一つである指紋認証製品が導入しやすくなってきた。低価格の読み取り装置や既存システムに組み込むための開発ツールが充実してきたからだ。ただし導入に際しては,「ハード料金以外にもコストがかかる」ことや「導入直後は手間もかかる」ことなどに注意する必要がある。

 ユーザー本人であることを指紋で確認する「指紋認証」が,企業システムに本格的に導入され始めた。

 指紋は,ID/パスワードのように“情報”が漏れることがなく,ICカードのような貸し借りもできない。最も確実な「本人認証」手段の一つである。製品の登場は1998年ごろと,新しくはない。ただ,これまでは本格導入を見送る企業が多かった。「自社システムに組み込むためのツールがない」という点と,「実質“タダ”のID/パスワードから置き換えるには高価すぎる」ことが大きな理由である。

 その状況が変わってきた。既存システムに指紋認証を組み込むための開発ツールが充実し,指紋読み取り装置そのものの価格も低下してきたからだ。実際,「1998年や99年は,指紋読み取り装置を試験的に数個導入するユーザーがほとんどだった。ところが2000年からユーザー数が増え始め,2001年には“千単位”で導入したいという企業が現れている」(富士通サポート&サービス ネットワークビジネス本部 システム統括部 アプリケーション推進部 バイオメトリクス推進課長 児玉庸雅氏)。

 本記事では,最近になって指紋認証システムを導入したユーザー事例を基に,指紋認証導入のハードルがどの程度低くなってきたかを検証する。また事例から,実際の導入時に注意すべき点も明らかになってきた。

本人特定による抑止力も

 事例の紹介に入る前に,指紋認証導入の効果を確認しておこう。

 冒頭で述べたように,「本人であること」を確実に証明できる点が,指紋認証の最大の特徴である。これは,なりすましを防げるだけでなく,システムにアクセスした人間を特定できるという利点がある。

 例えば,1999年夏に指紋認証システムを導入したカブドットコム証券の目的は,顧客情報にアクセスした社員を特定することだった*1。顧客情報の流出は,あってはならないことである。そのためには,言い逃れのできない――つまり,盗み見や貸し借りのできない本人認証の仕組みが必要だった。

 「特定できることが分かっていれば,大きな抑止力になる」(業務開発担当執行役員 情報システム部長兼ビジネス開発室長 齋藤正勝氏)。当時の導入コストは安いものではなかったが,「セキュリティはコストに代えられないと考えた」(同氏)。

写真1●岐阜県恵那市役所が導入した指紋認証システム
恵那市役所は2001年3月から指紋認証システムを導入し,WWWサーバー(ノーツ/ドミノ・サーバー)や業務サーバーへアクセスする際の本人認証を,ユーザーID/パスワード認証から指紋認証に切り替えた。指紋の読み取りには日本セキュアジェネレーションの「EyeDマウス」を使用している

指紋認証の仕組みを“後付け”

 岐阜県恵那市役所は,2001年3月に指紋認証システムを導入した(写真1[拡大表示])。ノーツ/ドミノ・サーバーで新しく構築したイントラネット・サーバー「内部情報システム」と,既存のC/Sシステムのサーバーへアクセスする際の本人認証に指紋を採用したのである。

 恵那市役所では,2001年4月に施行された情報公開法に備え,1998年から書類の電子化を開始。併せて情報システムを刷新することにした。

 住民の個人情報を取り扱うシステムということで重視したのが,利用者に対するセキュリティである。複数の認証方法を比較検討した結果,なりすましができないということで指紋認証を候補に挙げた。しかし,「当時の製品にはアプリケーションと連携する機能がなかったので,システムに組み込むことが難しそうだった」( 総務部 企画課 小坂喬峰氏)ため,見送った。

 導入を検討した米SecuGenの製品は当時,「Windowsへのログイン制御とファイルの暗号化ぐらいしかできなかった」(システム構築を担当した日本電子計算 公共システム事業部 名古屋営業部 営業第1グループ 高木敦郎氏)。そのため,従来通りID/パスワード認証を使うことにしてシステム構築を進めた。

図1●認証サーバーでユーザー情報を一元管理
恵那市役所では認証サーバーを置いてユーザー情報を一元管理している。ユーザーが業務サーバーなどへアクセスする場合には,クライアント・マシンにインストールされている認証用プログラムに指紋情報を読み込ませる(1)。プログラムは認証サーバーへその情報を送信し(2),サーバーは登録情報と照合する(3)。一致した場合には,該当ユーザーのIDとパスワードをクライアント・マシンに送信(4)。クライアント・プログラムはその情報を業務サーバーへ送信する(5)。業務サーバーには手を加える必要がないので,既存システムに容易に組み込むことができた

 ところが2000年3月になると,指紋認証とアプリケーションを連携させるための開発ツールが発売された。これを使えば,構築中のイントラネット・サーバー,そして既存のC/Sシステムのサーバーに手を加えることなく,ID/パスワード認証から指紋認証へ移行できることが分かった。更に認証用の専用サーバーを構築すれば,全ユーザーの指紋情報を一元管理することも可能になる(図1[拡大表示])。

 そこで,2000年の秋に導入を決定。マウス一体型の指紋読み取り装置を320台導入し,2001年3月から指紋認証システムの利用を開始した。コストは,「読み取り装置と認証サーバーおよびソフトウエアのライセンス料,認証用プログラムの作り込み,インストール費用などを合わせて,1台当たり3万円程度」(小坂氏)である。

 当初小坂氏らが心配したのは,指紋を使うことへのユーザーからの抵抗だった。しかしそのようなクレームはほとんどなかった。それよりも問題だったのが,本人であるにもかかわらず,認証エラーが頻繁に発生するユーザーがいたことだった。「読み取り装置の問題というよりは,指の当て方の問題がほとんどだった」(小坂氏)。特に,指紋の登録時に問題が起きやすかったが,きちんと再登録すると問題は解消された。

 管理の手間はどうだろうか。小坂氏によると,「ID/パスワードで認証しているときとそれほど変わらない」という。従来は,ユーザーに対して推測されにくいパスワードを説明したり,ユーザーが忘れた場合にはパスワードを再設定したりする手間がかかっていた。指紋認証ではそれらがない代わりに,正しい指の当て方を説明したり,指紋を再登録したりする手間が発生する。導入直後はある程度の運用の手間を覚悟した方が良さそうだ。

(勝村 幸博=katsumur@nikkeibp.co.jp,IT Pro)