生体認証の上手な使い方

指紋や静脈，筆跡など生体の情報や動作を用いて個人を識別する生体認証（バイオメトリクス）。これをセキュリティ強化に用いる動きが目立ってきた。では，生体認証を利用すれば万全のセキュリティを得られるのだろうか。答えは「否」。必ずしも万全とは言い切れない。

確かに長いパスワードや複数のパスワードを覚えたり，トークンを持ち歩いたりしなくてもよいため利便性に富む。本人しか持ち得ない情報を使うためセキュリティが高いといわれる。ここ1年で生体認証関連の製品やサービスがずいぶんと増えた。特にATMで採用された静脈認証に注目が集まっており，「生体認証は高セキュリティ」というイメージが強いようだ。2005年8月26日付の日本経済新聞によると，3大都市圏で調査した金融機関の安全対策に対する評価では，生体認証をATMに導入済みの東京三菱銀行が「安全対策」および「安全対策充実度のイメージ」で2位以下を大きく引き離しトップだった。

筆者は生体認証のセキュリティに関してこんな体験をしたことがある。以前，指紋認証装置を17機種集めて検証した際，すべての装置がゼラチンで作った人工指を誤って認証してしまったのだ（日経バイト4月号参照）。指紋認証装置のみの検証だったが，この経験から「生体認証は本当に高セキュリティなのか？」という疑問を抱いた。

そこで，日経バイト10月号の特集で主な認証方式（指紋，静脈，虹彩，顔）の特徴や課題，運用面での課題を取材した。取材を終え，冒頭に述べたような結論に至った。ただし誤解してはならないのが，生体認証は決して「使えない」わけではないということだ。適用場所に応じて認証技術を組み合わせたり運用方法を考えて，“望ましい使い方（誤認証されにくい使い方）”をすれば，大きな負担なくセキュリティを確保できる手段になり得る。

生体情報ゆえの難点

なぜ高セキュリティだと言い切れないのか。それは，いずれの方式にせよ，生体情報を使うがゆえの弱点があるからだ。特に，（1）誤認証がゼロではない，（2）なりすましが可能，（3）生体データは生涯不変，という三つが問題だ。 [全文]