バイオメトリクス認証の現状と課題

バイオメトリクス認証の商用利用は、重要施設における入退室管理など、コ スト度外視でセキュリティを重視する特殊用途から始まり、計算機の性能向上 及び低価格化に伴い適用場面が広がった。近年、センサーの小型廉価化及び計 算機の更なる性能向上に伴い、ICカードやPKIとの組み合わせによる情報セ キュリティへの応用製品も出現してきており、システム規模の拡大、利用場所 の広範囲化、用途の多様化が急速に進んでいる。

しかしながら、これらは基本的に特定ベンダーのセンサーや認証エンジンに 依存するクローズなシステムであり、基本的な思想はローカルなドメインでの 認証のままである。特定企業内での利用であれば問題はないが、電子政府など の公的な広域ドメインに採用するためにはまだまだ課題が多い。課題の幾つか は解決に向けた動きにあるが、本節では、それらの課題を解決動向と併せて整 理する。

(a) 標準化・ガイドライン制定

公的な広域ドメインに採用するにあたっては、

-   特定のベンダーに依存せず、互換性が確保されている事 (互換性確保) -   適切な装置を導入するための評価尺度が明確になっている事 (評価尺度) -   適切にシステムを設計運用するための指針が明確になっている事 (設計運

用指針) が必要である。

互換性確保に関しては、認証エンジンのAPI、データフォーマットの標準化 が必須である。これらはISO/IEC JTC1 SC37(5.1.1節)にて国際標準化が始ま った段階にあり、解決の土台はできつつあると言える。バイオメトリクス認証 とICカードは親和性が高く、バイオメトリクスデータをICカードに格納する 応用例が多く検討されていることから、ICカード上のバイオメトリクスデータ に対する互換性確保のための標準化も重要である。これについてもISO/IEC JTC1 SC17(5.1.1節)にて国際標準化審議が進んでいる。標準化の後には、適合 性の評価体制の確立が必要になるであろう。

評価尺度に関しては、従来は認証精度のみが注目されがちであったが、広域 認証に応用するにあたっては、様々な脅威に対するセキュリティ評価、システ ム安定性に対する評価など、セキュリティ装置としての評価尺度も重要となる。

認証精度については、カタログに表記される認証精度の導出方法が各社各様 である課題について従来から指摘されており、日本国内では既に指紋、虹彩に 対する精度評価方法のJIS-TRが策定されている[63] [64] 。欧米でも同一思想

に基づく精度評価方法ガイドラインとしてBest Practiceが提案されているが

[62] 、これらの標準に沿って導出された精度表記の普及はこれからである。

セキュリティ評価に関しては、欧米では幾つかの組織がPPを開発中である が、日本では特に動きは無い。日本においてもISO 15408(JIS X5070)に基づ き評価認証をうけた製品を政府調達していく方針にあることから、バイオメト リクス製品の評価認証を普及するためにも日本語による PP 整備が必要である。

DoDのBFCでは、四半期毎にバイオメトリクス製品の評価を実施している。

複数の評価対象製品を選定した後、特定環境下での評価(Controled

Environment Testing)にて候補を絞り込み、最後に実環境下での評価(Field

Testing)にて精度評価、ノイズの影響、脆弱性、信頼性に関する評価を実施し

ている。このような精度、セキュリティ評価、安定性など、全ての性能要件に 対する評価フレームワークの策定が必要である。

また、指紋認証においては、安価なグミから作成した人工指によってなりす ましが可能となった事例が報告されており[79] 、バイオメトリクス認証の脆弱 性の一例として研究の重要性が徐々に認識されつつある。簡易な偽造バイオメ トリクス情報によるなりすましは、指紋に限らず、他のバイオメトリクスでも 可能性はあるが、音声認証において合成音声によるなりすましの可能性[80] が 報告されている以外はこれからの研究が期待される状況である。

設計運用指針に関しては、システム的観点からと社会的観点からの指針が必 要となる。

システム的観点については、セキュリティ要件、運用要件、アプリケーショ ンプロファイルの観点に更に分類できる。セキュリティ要件に関しては、セキ ュリティ面での不備がないように設計を行うために重要である。金融システム を対象としたものとしてANSI X9.84があるが、広域認証を対象とした場合そ のまま適用できない。同様の標準若しくは指針の策定が急務であろう。。運用要 件に関しては、認証精度の評価尺度で得られた結果の利用方法とも密接に関係 し、日本では「運用要求策定ガイドライン」[1281]が策定されている。詳しく

は3.6.4.2節で述べるが、適用分野を問わず普及すべきガイドラインである。

アプリケーションプロファイルについては、米国において幾つかのアプリケー ション向けのものが検討されているが、日本の電子政府において採用するにあ たっては、このようなプロファイルの検討が必要であろう。

また、社会的観点からの指針として、プライバシーの問題を避けることがで

きない。表 2-7 バイオメトリクス認証におけるプライバシー侵害への脅威にバ

イオメトリクス認証におけるプライバシー侵害への脅威を示した。特に、「取替 え不能な情報の提示」「同意なき情報入力」「副次的情報の抽出」はバイオメト

リクス認証特有の脅威である。公的な広域認証を対象とした場合、社会から受 容される事が大前提となるが、これらの脅威に対する保護指針の明確化と必要 に応じた法整備が必須である。

表  2‑ 7  バイオメトリクス認証におけるプライバシー侵害への脅威 

脅威 説明

取替え不能な情報の提 示

バイオメトリクス情報は取替えのきかない身体的な 特徴であり、そのような個人情報を提示すること自体が プライバシーの侵害である、という考え方がある。

同意なき情報入力 バイオメトリクス情報の非接触入力が可能なシステ ムでは、不特定多数の個人を対象としたバイオメトリク ス情報が、本人たちの同意を得ないまま入力される可能 性がある。

同意なき二次利用 監視、犯歴調査、病歴の追跡等、本人の同意を得ない まま、当初の利用目的を逸脱した二次的な使われ方をさ れる可能性がある。

不必要なデータ保持 目的とする運用終了後、あるいは本人の要望に反し て、入力済みのデータが不必要に保持されたままになる 可能性がある。

第三者への同意なきデ ータ提供

本人にとって知られたくない相手、あるいは全く知ら ない第三者に、自分のバイオメトリクス情報が同意なく 漏洩する可能性がある。

副次的情報の抽出 健康状態、人種情報、対人的印象等、利用目的外の情 報が一目瞭然、あるいは抽出され、知られてしまう可能 性がある。

個人が特定されるデー タ保存法

個人を特定可能なバイオメトリクス情報を保持、ある いは他の個人情報とリンクして保持することにより、個 人が特定される可能性がある。

不必要な情報の閲覧 好奇心等による不必要な情報の閲覧がなされる可能 性がある。

(b) 運用上の課題

バイオメトリクス認証を行う上で、バイオメトリクス情報の登録という作業 が必須である。この登録時には確実な本人確認が求められる。また、登録され たバイオメトリクス情報の品質が悪く充分な認証精度が得られない登録者に対 して、再登録が現実問題として必須となるが、無計画な再登録実施には「なり すまし」脅威が存在する。ローカルなドメインでの認証の場合、システム運用 者が登録者を知っている場合が多く、さほど問題にならなかったが、広域ドメ インに採用するにあたっては、PKIにおけるCP/CPS同様に、登録／再登録に 関するポリシーを明確化した上で、それを厳格に運用する必要がある。

登録者に対する教育も非常に重要である。バイオメトリクス認証においては、

そのバイオメトリクス情報を如何に精度良くキャプチャーするかが重要であり、

そのためには利用者による協力的なバイオメトリクス情報提示が重要となる。

バイオメトリクス認証の種類にもよるが、ある一定の割合で「バイオメトリ クス情報を登録できない人」が存在する。また、一時的な要因で本人であって も本人であると認証できないときがある。このようなケースに対する対応も明 確に定めておく必要がある