バイオメトリクス認証

バイオメトリクス認証とは

バイオメトリクスとは、人間の身体的または行動的特徴を指す専門用語です。バイオメトリクス認証は、データ・セキュリティの概念です。バイオメトリクス認証ソリューションは、個人を表すデータ生成モデルを作成します。このモデルとバイオメトリクス情報により、セキュリティ・システムはアプリケーションやその他のネットワーク・リソースへのアクセスを認証することができます。バイオメトリクス認証は、強力な認証 チャレンジと摩擦の少ないユーザーエクスペリエンスを兼ね備えているため、多要素認証戦略の人気コンポーネントとして急速に普及しています。

パスワードとバイオメトリクス - どちらがより強力か？

ユーザ名とパスワードは、何十年もの間、基本的なセキュリティ対策でしたが、もはやそうではありません。主要な金融機関やビジネス機関で複数の有名な侵害事件が発生し、何百万ものユーザー名とパスワードの組み合わせが盗まれ、ダークウェブで販売されています。これに複数のアカウントでパスワードを繰り返す傾向が加われば、脆弱性の規模はより明らかになります。

バイオメトリクス認証システムは、ユーザーのバイオメトリクス・データが一意であるため、この脆弱性の影響を受けにくい。強力な活性化/なりすまし検出機能を備えた堅牢なソリューションによって取得された場合、攻撃者が個人の指紋や顔認識スキャンを不正に複製することは非常に困難であり、しかも適切なユーザが認証するのにかかる時間はほんの一瞬です。このため、バイオメトリクスはパスワードよりも便利で安全だと考えられています。

ガートナー社によると、「バイオメトリクス認証は、バイオメトリクス形質の秘密性に依存することはできず、また依存しません。この後者の点はあまり知られていないため、一般的な誤解を招き、消費者向け機器における限定的な提示攻撃検知（PAD）や、Apple Touch ID、サムスンのスワイプセンサー、Androidの顔認証などに対する攻撃の成功に関する宣伝によって、誤解が深まっています。これは、バイオメトリクス認証の長期的な実行可能性に懐疑的な人々にとって、心強いメッセージとなるはずです。

バイオメトリクス認証の種類

顔認証

顔認証は、多くのスパイドラマやSF小説でおなじみのバイオメトリクス認証です。この技術は私たちの生物学に根ざしています。私たちは毎日、友人や家族を識別し、見知らぬ人を見分けるために顔認識を使っています。認証では、このプロセスの原理をデジタル化し、スマートフォンやモバイルデバイスが同じように顔を認識できるようにします。

顔認識ソフトウェアは、目と目の間の距離、あごと鼻の間の距離など、顔の形状を分析し、顔データの暗号化されたデジタルモデルを作成します。認証の際、顔認識ツールはあなたの顔をリアルタイムでスキャンし、システム内に保存されているモデルと比較します。 顔認証は進化していますが、まだいくつかのリスクがあります。

長所

• モバイルデバイスは広く普及しており、すべてとは言わないまでも、ほとんどのデバイスにカメラが搭載されています。
• 設定はほとんど不要。ほとんどの最新のモバイル機器では、これらの機能は標準機能として搭載されています。
• 顔認証は、より便利なバイオメトリクス認証モダリティの一つです。デバイスのカメラを覗き込むことで、指紋スキャンや認証コードよりも摩擦が少なくなります。

短所

• すべての顔認証システムが同じように作られているわけではありません。なりすましが容易なものもあります。
• デバイスネイティブのソリューションは、サードパーティや独自のソリューションほど効果的ではありません。
• 能動的な生存検出」を備えた顔認識システムでは、要求を確認するために、ユーザーが頭を動かしたり、まばたきをしたり、その瞬間にその他の動作を行う必要があります。このプロセスは攻撃者にとって分析および回避が容易であり、厄介なユーザーエクスペリエンスになる可能性があります。一方、「パッシブな生存検出」は舞台裏で行われるため、ユーザーの邪魔にならず、攻撃者が識別および理解するのが困難です。

指紋認識

法執行官は長年にわたり指紋を身分証明書として使用してきました。指紋リーダーも同じ原理で作動しますが、プロセス全体がデジタル化されています。すべての人の指紋はその人固有のものです。そのため、指紋の隆起とパターンを分析することで、指紋スキャナーはデジタル・モデルを作成し、将来認証しようとする人と比較します。

長所

• 多くの産業で使用
• 最もユビキタスなモダリティ

短所

• 指紋の質、または濡れた指や汚れた指などの現在の状況によって性能が低下する可能性あり。

目による認識

一般に信じられているのとは異なり、認証の目的で目をスキャンする方法は2つあります。スキャンは、虹彩認識または網膜認識を利用してユーザーを識別します。

網膜スキャンでは、認証者が眼球に光を短時間当て、眼球の血管の独特なパターンを照らします。このパターンをマッピングすることで、眼球認識ツールはユーザーの眼球をオリジナルと比較することができます。虹彩スキャンも同様に機能しますが、虹彩に見られるカラーリングを分析します。

長所

• いくつかの実装では、目認識は顔認識と同じくらい高速で正確です（ユーザーフレンドリーではありませんが）。

短所

• 太陽光の下では比較用のサンプルを得るのが難しい場合があります（瞳孔が収縮します）。
• 実装によっては、特殊なハードウェアが必要になることもあります。

音声認識

音声認識はユーザーの声を分析します。人それぞれの声は、声道の長さや鼻、口、喉頭の形によって決まります。これらの要素により、ユーザーの声を分析することは強力な認証方法となります。

長所

• 便利な認証体験を提供
• ソフトウェアによっては、ユーザーにフレーズを提供

短所

• バックグラウンドノイズが録音を歪める可能性があります。
• 風邪や気管支炎などの一般的な病気は、音声を歪ませ、認証を妨害する可能性があります。
• 公共の場では、（電車やバスの中など）大きな声で話すことに抵抗を感じる場合があります。

バイオメトリクス認証の使用例

バイオメトリクス認証は、さまざまな業界の多種多様なアプリケーションで使用されています。ここでは、既存のプロセスの安全性と効率性を向上させるために、これらの業界がどのようにバイオメトリクスの使用を採用しているかの例をいくつかご紹介します。

旅行とホスピタリティ：

一部の航空会社や空港では、乗客に顔認証を使ってフライトにチェックインするオプションを提供しています。同様に、ホテルやホスピタリティ企業も、生体認証を使用してセルフチェックインを可能にし始めています。

銀行および金融サービス：

セキュリティと認証は多くの業界で不可欠ですが、モバイル・バンキングでは特に重要です。金融機関は、二要素認証や多要素認証戦略の一環として生体認証を活用し、口座乗っ取り攻撃から銀行とその顧客を守っています。

ヘルスケア

指紋スキャナー、虹彩スキャナー、顔認証などのバイオメトリクス認証は、病院が患者の身元を確認したり、介護者が正しい医療情報にアクセスできるようにしたりするのに役立ちます。

生体認証の神話

バイオメトリクス認証システムはセキュリティ分野で人気を博していますが、バイオメトリクスをめぐる一般的な神話がまだいくつか残っており、それが普及を遅らせています。ここでは、バイオメトリクス認証にまつわる最も重大な4つの誤解を紹介します：

• 神話 - バイオメトリクス技術はプライバシーの侵害：ユーザーがオプトインする必要があるバイオメトリクス認証オプションと、公共スペースで展開される顔認証技術には大きな違いがあります。バイオメトリクス認証ソリューションは、その性質上、ユーザーの同意を必要とします。さらに、顔の写真画像はデータベースに保存されません。むしろ、顔の数学的モデルが暗号化され、比較の目的でファイルに保存されます。これは、たとえ盗まれたとしても、攻撃者には基本的に役に立ちません。
• 俗説 - バイオメトリクス認証は、静止画像や写真で誤魔化すことができる：これは、古い認証技術や洗練されていない認証技術では真実であったかもしれません。しかし、最新のバイオメトリクス認証ソリューションには、提示されたバイオメトリクスの特徴が本物であるか、マスク、モデル、画像、またはビデオであるかを識別することができる活性検出機能が含まれています。認証のために、ユーザはまばたきや振り向くことを求められることがありますが、その他の活性検出機能は完全にバックグラウンドで動作します。
• 神話 - バイオメトリクス・モデルは、ユーザーの年齢や特徴の変化に応じて失効します：懸念されるのは、ユーザーが年齢を重ねるにつれて、顔が徐々に変化し、一致しなくなるということです。バイオメトリクス認証アプリケーションでは、通常、ユーザーは定期的に認証を行っているため、このような外見のわずかな変化は、一致を無効にするほど大きくはありません。その代わり、数学的モデルは外観の変化を認識すると更新されます。
• 行動バイオメトリクスは、個々のユーザーがデバイスとどのように相互作用するかを分析します。携帯電話の持ち方、スワイプの仕方、キーボードのタイプなど、ユーザーを認証したり、取引の相対的なリスクを判断したりするためのプロファイルを作成するために使用できます。例えば、新規口座開設のシナリオでは、行動バイオメトリクスは、申請者の行動を代表的なユーザープールと比較し、新規申請者が本物の正規ユーザーか、ボットや攻撃者かを判断することができます。