セキュリティの
学び場

今回の解説ニュース

生体認証に関する意識調査の結果、若年層を中心に利用が多い現状について発表されています。パスワードの代替にもなる生体認証ですが、利用する上でのリスクについても併せて説明します。

今回の調査は、全国の10〜70代の男女1,500人を対象に行われたもので、普段行っているセキュリティ対策として25.5%のユーザーが生体認証を利用しており、10代は48.8%、20代は34.9%と、若い層での利用が特に多いことが明らかになっています。なお、生体認証の利用者の73%が「スマートフォンロック」をきっかけに利用し始めたということです。

また、生体認証を利用しなくて困った経験は57.3%が「ある」と回答し、「ログイン情報を忘れる」が36.2%で最多となりました。他にも「ログイン情報を何度も誤り、ロックがかかる」が20.1%で、パスワード忘れを解消するために利用されている現状が挙げられています。

生体認証を利用する際の課題やリスクとは

生体認証のリスクとして、認証情報がコピーされた際に変更できない点が挙げられます。指紋認証を例に挙げて説明します。

PCやスマートフォンのロックを解除するための生体認証として、指紋認証を利用している方もいらっしゃるのではないでしょうか。しかし、指紋の認証情報は簡単かつ安価にコピーできてしまうことがよく知られています。具体的には、本人の指から指紋を直接採取する以外にも、PCやスマートフォンに残された指紋の汚れからも、画像処理や樹脂加工を経て、指紋を偽造することができます。

そのような状況で、生体認証の最も大きなリスクの一つとして、簡単には変更ができないという点が挙げられます。指紋や顔、静脈などが生体認証に使われますが、おいそれと変更することができないことはお分かりいただけるのではないでしょうか。生体認証はパスワードと比較して強力になることが多い一方で、変更できないリスクについては十分理解して利用する必要があります。

「変更が効かない」生体認証、強度について正しい理解を

生体認証のリスクに対して利用者ができることは、生体認証の強度について正しく理解して、適切な用途として使うことです。また、生体は個人情報にあたる場合があるため、預かる場合は厳重に管理することが必要です。

生体認証であってもパスワードと同様の保護を

先ほど説明した通り、生体認証の中でも指紋はコピーすることが可能で、それだけでは十分なセキュリティ対策にならない場合がありますので、パスワードと同様に保護する必要があります。具体的には、指紋を安易に残してコピーされてしまわないようにすることや、指紋認証に対して二段階認証を設定することが必要です。

身体の一部の特徴でも「個人情報」にあたる

また、個人情報保護法では「個人識別符号」を含む情報を個人情報に含まれるものと定めています。個人識別符号の一つに、身体の一部の特徴を電子計算機のために変換した符号が含まれており、具体的には、指紋、DNA、顔の骨格など、身体の特徴データがこれにあたるとされていますので、個人情報として適切に保護することが求められる場合があります。

安全な認証方法の一つ「FIDO認証」

このような状況で、サーバに生体と関連する情報を保存せずに生体認証を行う方法として、FIDO認証があります。FIDOとは、Fast IDentity Onlineの略で、FIDO認証はパスワードに代わる認証の一つです。スマートフォンなどで生体認証を行うことができれば、サーバに機密情報を送信したり保存したりする必要がないため、安全な認証方法の一つとして注目されています。

公開鍵暗号方式での認証の仕組み

具体的には、公開鍵暗号方式で認証が行われており、秘密鍵はユーザが生体認証ができるスマートフォンなどに保存されており、サーバには公開鍵のみが保存されています。サーバから電子署名の要求がユーザに対して行われ、ユーザが生体認証を行うことによって秘密鍵が利用できる状態になり、サーバの要求に応じて電子署名を行います。サーバではペアとなる公開鍵によって電子署名の検証が行われ、ユーザの秘密鍵によって署名されたことが確認できれば、ログインなどの処理が行われる仕組みになっています。

今回は、生体認証のリスクとFIDO認証についてお届けしました。公開鍵暗号方式や電子署名については、過去の記事もご覧いただければと思います。