生体認証

バイオメトリクスとは何ですか?

バイオメトリクスとは、各人に固有の身体的または行動的特徴であり、アプリケーションやその他のネットワークリソースにアクセスするために個人を認証するために使用されます。 バイオメトリクス識別子の例としては、指紋、顔のパターン、スワイプのパターン、タイピングのリズム、音声などがあります。 バイオメトリクス認証は、強力な認証チャレンジと低摩擦のユーザーエクスペリエンスを組み合わせたもので、多要素認証(MFA)の一般的な構成要素です。

ウィキペディアによると、「バイオメトリクス識別子は、生理的特性と行動的特性に分類されることが多い。 生理的特徴は、体の形に関係しています。 例えば、指紋、掌静脈、顔認証、DNA、掌紋、手の形状、虹彩認証、網膜、匂いなどが挙げられます。"行動バイオメトリクスは、人のタイピングのリズムや携帯電話の持ち方やスワイプの仕方など、行動のパターンに関連するものです。

バイオメトリクスは、モバイルバンキングアプリでの利用が増えており、お客様が簡単にログインできるだけでなく、セキュリティの層を増やすことができます。 生体認証システムは、顔の画像などの生体情報が秘密であることに依存しません。 パスワードや暗証番号とは対照的に、バイオメトリクスは忘れたり、共有したりすることができず、コピーや盗み出すことも困難です。  

バイオメトリクスの仕組みは?

生体認証システムには、3つの異なる構成要素があります。 指紋などの生体情報を記録し、読み取るためのセンサーが必要です。 生体情報を使って携帯電話にアクセスする際には、比較のために生体情報を安全に保管しているコンピュータが必要です。 3つ目のコンポーネントは、コンピュータのハードウェアとセンサーを接続するためのソフトウェアです。

スタティック・バイオメトリクスとビヘイビア・バイオメトリクス:何が違うのか?

静的バイオメトリクス

静的バイオメトリクスは、指紋スキャンや顔認識などの身体的特徴を利用して、携帯電話のロック解除や銀行口座へのログイン、取引などを行うものです。  

ここでは、本人確認に使われる静的バイオメトリクスの主な種類をご紹介します。

  • 顔認識ソフトは、目と目の間の距離、あごと鼻の間の距離などを分析し、暗号化された顔のデジタルモデルを作成します。 認証の際には、顔認識ソフトウェアがリアルタイムで顔をスキャンし、システム内に安全に保存されているデジタルモデルと比較します。 アクティブライブネス検出」を行う顔認識システムでは、頭を動かしたり、まばたきをしたりといった動作が必要になります。 例えば、紙やデジタルスクリーン、3Dプリントされたマスクの切り抜きなどを検出することができ、生身の人間ではないことを示すサインがないか、アルゴリズムを使って生体サンプルを分析します。 強力なliveness検出は、システムに生体サンプルを提示するのが実際のお客様であり、プレゼンテーション攻撃と呼ばれる、本人になりすまそうとする攻撃者ではないことを確認します。
  • 指紋認証は、モバイル機器で使用される生体認証の中で、最もポピュラーとは言えないまでも、最も一般的な形態の一つです。 もともとはAppleの「Touch ID」が普及させたものです。 指紋リーダーは、指紋の隆起やパターンを分析し、保存されている指のデジタルモデルと比較して認証を行います。 指が濡れたり汚れたりすると、指紋認証が変わってしまうことがあります。 攻撃者が個人の指紋を複製することは、指紋認識システムが強力なliveness検出機能を備えている場合には困難であり、3Dモデルや偽の画像を使用したプレゼンテーション攻撃を防ぐのに役立ちます。
  • 虹彩認証 :目をスキャンして本人確認を行う方法は2つあります。 網膜スキャンでは、眼球に短時間光を当てて、眼球内の血管の固有のパターンを示します。 このパターンをマッピングすることで、目の認識ツールはユーザーの目とオリジナルの目を比較することができます。 虹彩認証では、虹彩にあるカラーリングをスキャンします。 用途によっては、顔認証と同等の速度と精度で目を認識することができますが、太陽光の下では瞳孔が収縮してしまうため、比較のためのサンプルを得ることが難しい場合があります。 また、お客様がメガネをかけていると、虹彩認証の信頼性が低下することがあります。  
  • 音声認識は、声道の長さや、鼻、口、喉頭の形などによって決まる、その人特有の声を分析します。 人の声を分析することは強力な認証方法ですが、風邪や気管支炎などの病気や背景の雑音によって声が歪んでしまい、認証が乱れてしまうことがあります。
  • 指紋認証は、指の3次元形状を利用して本人確認を行うものです。

全体として、静的なバイオメトリクスは、お客様を認証するための安全な方法と考えられており、プレゼンテーション攻撃で指紋や写真が偽装された場合に対抗するために、有効性の検出を含める必要があります。

Cover of Gartner guide

Gartner Market Guide for In-App Protection

Download the full Gartner Market Guide for In-App Protection to learn about the application security capabilities necessary to protect your mobile apps as well the major providers in the security space today.

Download Now

振る舞い・行動認証

行動バイオメトリクスは、お客様固有の習慣や動作を分析して行動パターンを作成し、タイピング時や携帯電話の持ち方などを認識することができます。 行動バイオメトリクスは、静的なバイオメトリクスと同様に、本人確認のためのもう一つのセキュリティ・レイヤーを追加します。 FinancialIT.netでは、「この最先端の技術は、モーションセンサーと人工知能を用いて、携帯電話の持ち方など固有のマナーを識別します。 セキュリティの最後のフロンティアと言われています。

ここでは、行動バイオメトリクスの主な種類をご紹介します。

  • キーストロークリズムは、入力の仕方やスピードを分析して、特徴的なパターンを見つけ出します。 また、タイピング時の指の力加減は、パターンとして認識することができます。
  • スマホの持ち方」 では、スマホを持つ角度や、スマホを使うときの利き手を分析します。 行動バイオメトリクスには、携帯電話のスワイプの仕方や、どの手で操作するかなども含まれます。    
  • 歩き方も行動特性のひとつで、パターンを調べることができます。 また、ログインや取引を行ういつもの時間や場所も行動パターンに入れることができます。  

行動バイオメトリクスは、お客様にとってはシームレスな体験となりますが、詐欺師にとっては、各個人が自分の習慣や動きの特定のプロファイルを持っているため、難しいものとなります。 行動バイオメトリクスでは、ユーザーのセッションが継続的に監視されるため、セッションが中断されたり、乗っ取られたりする可能性があっても、システムがそれを認識して適切な対処を行い、不正行為を未然に防ぐことができます。

バイオメトリクスによる金融詐欺対策

生体認証は、金融機関では以下の目的で利用されています。

  1. お客様が遠隔地で新規口座を開設する際のデジタルID認証のために
  2. お客様の認証のため(ログイン時、またはバンキングセッション中の継続的な認証のため
  3. 取引の認証のため(正当なアカウント所有者が実際に取引を開始した人であることを確認するため

消費者はバイオメトリクスに慣れてきており、多くの人が、金融機関での認証や本人確認の手段として、例えば指紋や顔認証を選択しています。 バイオメトリクスは、セキュリティをさらに強化し、お客様の金融機関への信頼度を高めるのに役立ちます。 2013年に導入されたAppleのTouch IDは、金融機関がモバイルバンキングのプラットフォームのセキュリティを確保するために使用できるデバイスベースの技術を提供しているため、モバイルバンキングにおけるバイオメトリクスの普及に貢献しています。  

同様に、Android Fingerprint IDでは、一部のAndroid端末で指紋による本人確認を行うことができます。 Javelin社によると、消費者は認証の選択肢を求めています。 3分の1以上のユーザーが、金融機関に最も強く望んでいる3つの認証方法は、すべて生体認証モダリティです。 また、Javelin社は、生体認証の選択肢を求める消費者は一般的に若年層に集中していると考えられますが、約40%が55歳以上の高齢者でした。

バイオメトリクスによる強力な顧客認証の仕組み

バイオメトリクスは、多要素認証(MFA)プロセスの一部であり、銀行セッションへのログインや金融取引を行う際に、複数の技術を用いて本人の認証を行うことができます。 多要素認証(MFA)を実現するためには、少なくとも2つの異なる認証要素を使用する必要があります。 認証要素は以下の通りです。

サムシング・ユー・ノウ

これは通常、パスワード、PIN、パスフレーズ、または質問とそれに対応する答えです。  

あなたが持っているもの

これは、ワンタイムPINであったり、スマートフォンに認証アプリを入れて、裏でワンタイムパスコードを生成する装置であったりします。

Something You Are

これは、指紋、網膜スキャン、顔認識、音声認識、またはお客様の行動(画面上でのタイピングやスワイプの強さや速さなど)など、お客様を確認するために使用できるものです。

その結果、暗証番号と顔認証の併用は、「知っていること」と「自分であること」を組み合わせた多要素認証となりますが、暗証番号とパスワードの併用は、「知っていること」を2つ組み合わせただけなので、多要素認証とは言えません。

バイオメトリクスによる金融詐欺の防止

強力な顧客認証(SCA)やMFAの一部としてバイオメトリクスを使用することで、さまざまなタイプの不正攻撃を軽減することができます。 詐欺師が銀行口座を支配するためにデジタルで侵入する際、多くの場合、フィッシングなどの手法を用いて人々を説得し、不用意にログイン情報を開示させます。 その結果、アカウント・テイクオーバーが発生し、金融機関とその顧客にとっては、金銭的な損失と軽減のための努力が必要となるため、最大の脅威となっています。 バイオメトリクスは、指紋スキャンやフェイシャルスキャンを要求することで、アクセス(ログイン)の時点で攻撃者を阻止することができます。 攻撃者は認証を成功させることができず、他人のアカウントに侵入することを防ぐことができます。 さらに、堅牢なライヴネス検知とスプーフ検知により、攻撃者にとってさらに困難なものとなっています。 攻撃者は、正当なお客様の生体認証を模倣することができず、アカウントへのアクセスを阻止されます。  

遠隔地での口座開設時にバイオメトリクスを利用した不正防止策

また、バイオメトリクスは、遠隔地での口座開設プロセスにおけるID詐欺の防止にも役立ちます。 今日、COVID-19のおかげで、多くの消費者が不必要に銀行の支店に行かなくて済むようになりました。 新規申請者が銀行担当者と対面していない場合でも、銀行は遠隔地の申請者が実際にパ スポートや運転免許証などの ID 文書の正当な所有者であることを検証しなければならない。 これは、応募者の不正を防ぐために必要なことです。    

バイオメトリクスはこのプロセスの一部です。 例えば、顔照合は、遠隔地の申請者が本人であることを確認するための本人確認に使用されます。 申請者の運転免許証やパスポートなどの政府発行のIDの真偽が確認されると、携帯端末で自撮りをしてもらいます。 自撮り写真を顔認識に使用する場合、人間の真の存在を証明するためにliveness detectionを適用することができます。  

バイオメトリクスの特徴が実在の人物のものであるか、デジタルまたは製造された表現であるかを識別するために、2つのタイプの活性度検出があります。 アクティブライブネス検知は、人がまばたきをしたり、頭を回転させたりする必要があります。パッシブライブネス検知は、舞台裏でアルゴリズムを用いて、なりすましの可能性がある兆候を検知します。 顔照合技術は、高度なアルゴリズムを用いて、人の顔の特徴から生体情報を読み取ります。 例えば、人の目の相対的な位置や大きさを利用して、自撮り写真と政府発行のIDが同一人物のものかどうかを判断することができます。

バイオメトリクスによるカスタマー・エクスペリエンスの向上

生体認証の利用により、お客様が金融機関とのやり取りをより迅速かつ容易に行うことができるようになりました。 生体認証は、盗まれたり忘れたりすることが多いパスワードよりも安全な認証手段です。 生体認証は、詐欺師が偽の指紋や自撮り写真を使って成功させることがはるかに困難であるため、顧客の金融機関に対する信頼を高めることができます。 遠隔地での口座開設時の本人確認やログイン時の顧客認証にバイオメトリクスを利用したことで、顧客の金融機関に対するロイヤリティや信頼性が向上します。   

なお、生体認証モデルは時間の経過とともに学習するため、加齢による人の特徴の変化が考慮され、照合が無効になることはありません。 ユーザーが定期的に認証を行っている場合、外見のわずかな変化は照合を無効にするほど重大ではありません。 その代わり、外見の変化を認識すると、人物の数学的モデルが更新されます。

Javelin Scorecard book open
Analyst Report

Javelin | Mobile Biometrics Platform Scorecard

To help financial institutions evaluate mobile biometric solutions, Javelin ranked 12 vendors using the advisory firm's Functional, Innovative, and Tailored (FIT) model. Discover which vendors lead the pack in key areas like ease of integration, long-term value, and flexibility in adapting to business needs and use cases.

Download Now

バイオメトリクスについてのアナリストの意見

ガートナーは、「バイオメトリクス認証は、バイオメトリクス特性の機密性に依存することはできず、その代わりに、特性をキャプチャデバイス(「センサー」)に提示する生身の人間になりすますことの難しさ、すなわち提示攻撃に依存している」と述べています。ガートナーは、この点が広く知られていないため、一般的な誤解が生じており、民生機器での提示攻撃検出(PAD)が限られていることや、Apple Touch ID、Samsungのスワイプセンサー、Androidの顔認証などに対する攻撃の成功例が公表されていることで、その誤解が強まっていると指摘しています。 ガートナーによると、生体認証の顧客メリットにより、ここ数年、モバイルバンキングのアプリケーションが増加しているという。

ジュニパーリサーチ社は、最近のiPhoneに搭載されている「Face ID」などの顔認証ハードウェアが、スマートフォンの生体認証ハードウェアの中で最も急速に成長すると予測しています。 2019年には推定9600万人だったのに対し、2024年には8億人以上に達すると予想されています。 しかし、今回の調査「Mobile Payment Authentication: Biometrics, Regulation & Forecasts 2019-2024」では、スマートフォンの顔認証の大半はソフトウェアベースとなり、2024年までに13億台以上のデバイスがその機能を持つことになると指摘しています。

MarketResearch.comによると、デジタルの世界で銀行詐欺に対抗するには、より確実な技術が必要だという。 "バイオメトリクスは、増大する金融詐欺の脅威に対抗するための強力な武器です。 音声認識、虹彩スキャン、指紋、顔認識など、複製が困難な固有の物理的文字に基づいた簡単で確実な認証、パスワードの記憶やワンタイムパスワード(OTP)の管理の必要性の排除、サイバーハッキング戦略に対するセキュリティの強化、他に類を見ない利便性、個人情報漏洩のリスクの大幅な低減、質の高いユーザー体験、ユーザーインターフェースの最小化またはゼロ化、時間の節約、バックオフィスでの認証作業負荷の低減などの利点があります」とMarketResearch.comは述べています。

Javelin社によれば、個人のデバイスにローカルにバイオメトリック・テンプレートを保存することで、輸送中や悪意のあるアクターがバイオメトリック・データの集中管理を狙ってデータを漏洩させるリスクを低減することができるという。 "また、Javelin社は、「悪意のある個人が自分の特徴を生体認証装置に登録することに成功した場合、最も洗練された認証方法であっても、セキュリティチャレンジを通過することができてしまいます」と述べています。 そのため、多くのプロバイダーは、デバイスのフィンガープリンティングやジオロケーションなどのリスク評価ツールを自社のプラットフォームに組み込んで提供しています。 ドキュメントスキャンのような他のツールは、バイオメトリクススキャンを自然に補完するものであり、ユーザーが撮影したバイオメトリクス入力と身分証明書の画像をある程度比較することができます。"

バイオメトリクスと規制遵守

バイオメトリクスは、電子決済サービスに関する規制である欧州連合の第2次決済サービス指令(PSD2)の強力な顧客認証(SCA)要件を満たすのに役立ちます。 SCAの要件では、認証は、知識(パスワードやPINなど)、所有(トークンやモバイル機器など)、継承(バイオメトリクス)のうち、2つ以上の要素に基づいて行われなければならないとされています。

EUの一般データ保護規則(GDPR)では、コンプライアンスのために2ファクタ認証が義務付けられています。 つまり、パスワードは簡単に盗まれたり、共有されたり、悪用されたりする可能性があるため、単純なユーザー名とパスワードの組み合わせでは、データ保護のための十分なセキュリティを提供できなくなっているのです。 二要素認証(2FA)は、ウェブサイトやアプリケーションへのアクセスを許可するために、認証可能な3つの要素(その人が知っているもの、その人が持っているもの、その人であるもの)のうち、2つの要素が組み合わされたときに、その人を特定するために使用されます。これには、指紋や顔のスキャンなどのバイオメトリクスが使用されます。

米国では、最大の州規制機関であるニューヨーク州金融サービス局が、「Cybersecurity Requirements for Financial Services Companies」と題した規制を発表しました。 非公開情報や情報システムへの不正アクセスを防止するために、生体認証を含む多要素認証を使用することを要求しています。非公開情報とは、個人のプライベートな情報です。

お問い合わせはこちら

お客様のデジタル・セキュリティ・ニーズに対する当社のソリューションの詳細については、当社のセキュリティ専門家にお問い合わせください。