なぜ、生体認証なのか？ DDS三吉野社長にセキュリティの最前線を聞く ～ 第2回 最新のセキュリティ ～

最近ではFacebook、少し前ではLINEとソーシャル・ネットワーキング・サービス（SNS）の乗っ取り被害が続発している。ほかにもインターネットバンキングでの不正ログイン、ベネッセの顧客情報漏洩事件など、日々情報漏洩のニュースが世間をにぎわせている。つい先日も、JALこと日本航空株式会社の顧客情報が漏洩した可能性があると発表されたばかりだ。

ここ数年で急激にスマートフォンやタブレットが普及したためインターネットが生活と密接につながり、簡単には切り離せなくなってきた。IoT（Internet of Things：モノのインターネット）により、ありとあらゆる機器がネット接続されるようになると、それぞれの機器でセキュリティ対策が必要になってくる。

IDやパスワードの使い回し、なりすまし、データロガー、キーロガー、スキミング、パスワードリスト型攻撃など様々な手法で、私たちのネット上の安全が脅かされている。その脅威はアナタの目の前まで迫っているかもしれない。そうした脅威に対するセキュリティ対策はどうなっているのだろうか？

そこで、日本におけるセキュリティの第一人者である、株式会社ディー・ディー・エス代表取締役社長三吉野健滋氏に、最新のセキュリティ事情についてうかがった。

第1回 マイナンバー制度に引き続き、第2回目は日本における最新のセキュリティについてだ。

■日本における最新のセキュリティは生体認証が中心
パスワードの入力は、読み取られてしまえば終わりだ。IDが漏れたとしても、本人しか入力できないパスワードがあれば、セキュリティを突破されることはない。しかし、キーボードを用いたパスワード入力は、撮影されたり、盗み見られたりしてしまうと万事休すだ。

IDとパスワードが正しければ、誰でもアクセスできてしまうのがネット上のサービスだ。これを特定個人だけに限定する方法として、進化してきたのが指紋認証によるログインだ。ただし、指紋認証も指紋をコピーされてしまい、フィルムや指の模型などを使われると突破されてしまう。そこで生きた人の指でなければ反応しない生体認証が注目されてきた。

三吉野氏によると、生体認証の技術そのものには非常に長い歴史があるそうだ。生体認証が最初にビジネスになったのは、AFIS（Automated Fingerprint Identification System）という仕組みで、警察用の指紋認証システムとして1960年代から使われている。国内では、NECの独壇場であるという。全盛期には約70%のシェアがあったというから驚きだ。そうした指紋認証が民生で使われ始めたのが1980年代からで、2000年くらいには静脈認証や、目の光彩（アイリス）による生体認証が登場している。

「90年代の後半から2000年代の初頭に、いくつかの方式が世の中に出てきたと思います。ただ、どれもあまり大きな市場シェアを取れなくて・・・。警察用の指紋認証システムは日本中に普及したのですが、その他の民生用の認証機器というのは、あまり普及を見ませんでした。」と、三吉野氏は当時を振り返る。

生体認証は、1980年代からペンタゴンのコンピュータールームのように重要な場所で使われているが、世の中にあまり普及していないため、ビジネスとして成功しているとは言えないそうだ。

その生体認証システムを身近にしてくれたのは、ハリウッド映画だろう。有名なものには、シュワルツェネッガー主演の「ターミネーター」シ」リーズ、トム・クルーズ主演の「ミッション：インポッシブル」や「マイノリティ・リポート」などがあげられる。いずれも重要機密を扱う場所へ入るのに生体認証と音声を組み合わせたり、静脈認証とパスワード入力を組み合わせたりといったシステムだ。

さて、そんな生体認証だが、国内では、金庫やドアの鍵、いくつかの指紋認証付きの携帯電話が2003～2005年あたりに発売されたが、そのまま下火になってしまった。それが昨年、iPhone 5sに「Touch ID」という生体指紋認証が搭載され、再ブームの兆しを見せつつある。最新のiPhone 6 / iPhone 6 PlusもこのTouch IDを載せてきている。

「指紋認証搭載端末は7～8億台、来年には10億台を超すと思います。それ以外の認証システムは、1億台は載っていないと思います。」と三吉野氏。

一番大きな理由はズバリ、コストだ。つまり、指紋認証が一番安いということ。もうひとつはリテラシー。指紋認証はセキュリティ技術として多くの人に認知されているので、誰でも不思議がったり、怖がったりせずに当たり前に使えるというのだ。

最近では、銀行で静脈認証付きATMを見掛けるようになったが、静脈を登録する手間が掛かるし、少額の引き出しでも静脈認証付きATMを使うのは、利便性の面からも不便なこと、この上ない。

ちなみに海外では、静脈の情報を管理者側に渡すことに抵抗感を持つ国も多いという。とくにヨーロッパでは、静脈はバイタルサインに直結するため、それを読ませるのは非常に危険というのだ。読み取り次第では低血圧・高血圧、心臓の鼓動の様子などを分析できるというのだから恐ろしい。

「たとえば、バイタルサインを読み取って体が弱っているとなれば、そのまま襲われる危険性があります。自分の体の情報を伝えるというのは、非常にリスキーだという考え方もあります。静脈のデータをそういうものに使うというのは、まだ一般的ではないわけです。」と、三吉野氏は静脈認証について教えてくれた。生体認証で指紋認証が普及しているのも、そうした理由もあるのだろう。

さて、生体認証はセキュリティ的に完璧なのかといった心配がある。

三吉野氏によると「すべてのセキュリティに、セキュリティホールがあって、完璧なものはない」とのこと。指紋認証は現在一番普及している生体認証だが、セキュリティ強度が高いかというと偽造が不可能ではないし、実際に多くの装置で偽造は可能だそうだ。

セキュリティの世界は、ユーザービリティとセキュリティ強度のトレードオフだという。セキュリティ強度を高めるためには、いろいろなセキュリティ手段を組み合わせれば良いが、ユーザービリティが低下する。面倒くさくなくて使える程度のものでないと、実際には使えないというわけだ。

たとえば、スマートフォンに4桁の暗証番号を入れるとか、ログインのIDやパスワードをまめに変えるとか。そうしたものは皆、ストレスを伴うため、実際には出来ないことが多いというわけだ。あまりに増えすぎたパスワードを管理しなければならなくなり、それだけで披露してしまう「パスワード疲れ」という言葉が最近では登場してきた。

生体認証について語る、株式会社ディー・ディー・エス代表取締役社長三吉野健滋氏

株式会社ディー・ディー・エス代表取締役社長 三吉野健滋氏
大学卒業後、数年間の証券会社勤務の後、平成7年に大学時代の友人達と起業。10年後の平成17年には東証マザーズへ上場を果たす。 産学連携により指紋の照合に関する独自技術を開発し、PC用の指紋認証機器の出荷台数において国内シェアトップ企業に成長させた。 主に企業、自治体、官公庁など大組織向けの指紋認証事業を展開。

■株式会社ディー・ディー・エス

■DDSに関連した記事をみる
・なぜ、生体認証なのか？ DDS三吉野社長にセキュリティの最前線を聞く ～ 第1回 マイナンバー制度 ～