IBMニュースレター
The DX Leaders
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ハッカーは、企業ネットワークに侵入して大混乱を引き起こすために、ユーザーの認証情報を標的にすることが増えています。実際、IBMのCost of a Data Breach Reportによると、盗まれた認証情報は、データ侵害の背後にある最も一般的な攻撃ベクトルです。
多くの組織では、こうした種類のサイバー攻撃を阻止し、ユーザー・アカウントを保護するために生体認証を採用しています。生体認証情報はその人が誰であるかに関係するため、パスワードやセキュリティー・トークンなどの他の認証情報に比べて、一般的に盗んだり、偽造したりするのが困難です。
生体認証を利用することで、人々は自分の身元を証明するために何も記憶したり、特別なアイテムを持ち歩く必要がないため、より便利なエクスペリエンスを実現できます。生体認証テクノロジーにより、他のタイプの認証よりも安全で合理化されたパスワードなし認証が可能になります。
すべての認証システムは、認証要素、つまりある人が本来の姿であることを証明する証拠に依存しています。生体認証は、特に身体的および行動的モダリティーを使用して人を識別します。
生体要素
遺伝要素は、物理的要素とも呼ばれ、網膜の血管のパターンなど、その人に固有の身体的特徴のことです。
生体認証システムは、測定可能・識別可能で、変更の可能性が極めて低い物理的識別子を使用します。一般的な物理的生体認証方法には、顔認証と指紋スキャンがあります。体重や髪の色などの特徴は変化する可能性があり、認証には不適切です。
足や唇の形状の赤外線画像など、独自の遺伝要素の新たな選択肢の研究が絶えず行われています。1
ほとんどの固有要素は一貫していますが、怪我により、指紋や顔の主な特徴における変化などがあると、問題が発生する可能性があります。
遺伝要素が持つもう1つの潜在的な難点は、攻撃者が物理的な認証要素(データベースから指紋スキャンを盗むなど)を盗んだ場合でも、それを変更できないことです。パスワードは変更できますが、指紋は変更できません。
さらに、組織が生体認証データを収集した後、それをどのように利用するかという点で、潜在的なプライバシーの懸念があります。
現在使用されている、または評価中の固有要素には、次のものがあります。
眼球認識には、虹彩または網膜をスキャンして固有のパターンを見つけることが含まれます。この種の生体認証は精度が高い反面、専用機器が必要で、費用がかかります。セキュリティが最重要視される官公庁や産業用途では、より実用的です。
顔認識技術は、モバイル・デバイスのロック解除や法執行機関による本人確認に使用するのに十分な精度を備えています。
ただし、顔スキャンでは問題が発生する可能性があります。ライブスキャンの角度がファイル上のスキャンと異なる可能性があり、認証が失敗する可能性があります。誇張された表情もスキャンを歪める可能性があります。
人の声のトーン、ピッチ、周波数は、指紋のように独特である場合があります。
音声認識認証は高精度で使いやすく、比較的費用対効果に優れていますが、高度な音声クローン技術はそれを欺くことができます。OpenAIなどの一部の生成AI開発者は、このような理由から、組織は音声認識から脱却するよう提唱しています。2
指紋は、長い歴史をもつ生体認証方法で、BC300年には中国で身元証明として使用されていました。3その有用性は、現代にまで続いています。
指紋は唯一無二のもので、2人の人間の間で同じ指紋が見つかる確率は640億分の1しかありません4。(そして現在、地球上には80億人強の人々がいます)。
指紋は、今日のデジタル・デバイスにも最適です。読み取り、収集、分析にはあまり費用がかからず、人が年を重ねても変わることはありません。
しかし、スマートフォンやPCに搭載されている一部の消費者向け指紋スキャナーの中には、偽の指紋を使ってアクセスできてしまうものがあります。濡れた指、乾いた指、脂っこい指などの一般的な状態は、誤った拒絶反応を引き起こす可能性があります。
これらのエラーが原因で、現在では血管パターンを代わりに読み取るスキャナーもあり、誤検出の件数を減らすのに役立っています。
静脈認識は、パターン認識技術を使用して、ユーザーの体の一部にある血管の配置を、既に登録されているスキャンと照合します。
多くの指紋スキャン方法よりも正確ではありますが、静脈スキャンのプロセスは面倒な場合があります。また、血管パターンをスキャンする設備はまだ普及していないため、専門性の高い環境での利用が主流です。手のひら全体と額7の静脈もスキャンできます。
人の手の形をスキャンして、数学的表現として保存することができます。指の長さ、手の各部分の距離、指の関節の間の谷間の輪郭などを測定します。
すべての生体認証要素の中で、DNAが最も正確であるとよく考えられています。「一卵性双生児」であっても、DNAが本当に同じであることは通常ありません。5
しかし、DNAの精度やDNAサンプルがどのように使用されるかという疑問から、認証要素としてDNAを使用することに不安を感じる人が多くいます。
米国政府の調査によると、人々はDNAよりも指紋の形で生体認証データを提供する方がはるかに快適であることがわかりました。6.
行動要因
行動生体認証では、人の活動における固有のパターンを使用して人を識別します。認証に使用される一般的な動作特性は次のとおりです。
デバイスを操作している間、人々はしばしば独特の行動パターンをとります。例えば、タッチスクリーンの使い方や、マウスを動かす頻度や流動性などです。
組織は機械学習アルゴリズムを使用してこれらのパターンを分析し、ユーザーの典型的な行動のモデルを構築できます。ユーザーのその後の行動を認証のモデルと比較することができます。
タイピング速度やよく使うショートカットなど、キーボード入力のパターンも人それぞれです。タイピングのダイナミクスは遠隔から目立たないように監視できますが、指紋や虹色のスキャンに比べて精度が低く、ユーザーのパターンは時間の経過とともに変化する可能性があります。
人の歩き方を認証に使用することができます。歩幅と足の角度は、人によって微妙に異なる場合があります。
マルチモーダル生体認証
マルチモーダル生体認証(MBA)システムでは、2つ以上の生体認証方法を使用して個人を識別します。例えば、MBAシステムでは、ユーザーに入室を許可する前に、指紋スキャンと網膜スキャンの両方、または顔認識とタイピング・パターン分析の両方を求める場合があります。
マルチモーダル生体認証の目的は、セキュリティー対策を大幅に強化することです。ハッカーが認証プロセス中に複数の生体認証識別子をうまく偽装することは非常に困難です。
生体認証の基本機能は単純です。最初のステップは登録プロセスです。このとき、人の生体認証情報の記録が生体認証システムにデジタルで保存されます。ユーザーが認証のためにシステムに戻るときはいつでも、この元のテンプレートがユーザーの特徴と比較されます。生体認証の特徴が一致すると、認証が確定します。
デジタル・ストレージ・スペースを節約し、検証要素の比較を加速するために、テンプレートには重要なポイントのみが保存されることがよくあります。例えば、顔のスキャンでは、多くのシステムでは顔全体ではなく、顔の特定の特徴のみを保存します。指紋スキャンなどの場合、画像全体が保存されることもあります。
保存された生体認証データは、強力なデータ・セキュリティー対策が必要です。というのも、盗まれると、そのデータは個人情報の盗難に使われる可能性があるからです。また、生体認証データは変更できないため、盗難は被害者に生涯にわたって困難をもたらし、個人データをさらに危険にさらす可能性があります。
生体認証システムでは、認識プロセスを高速化するために高度な人工知能(AI)がよく使用されます。ディープラーニングそして、特に 畳み込みニューラル・ネットワーク(CNNまたはConvNet)は、指紋のようなテンプレートやスキャンのパターンを識別する上で大きな可能性を秘めています。
アクセス制御
機密性の高いアプリやデータへのアクセスを許可する前に、その人のデジタル IDを確立することは重要です。生体認証セキュリティ・システムは、ハッカーが有効なユーザーの身元を偽装してシステムへのアクセスを試みるプレゼンテーション攻撃を防ぐのに役立ちます。
生体認証方法は、機密性の高い物理的な場所の保護にも使用できます。官公庁・自治体は、パスポート所有者の写真と指紋が記載されたマイクロチップ入りパスポートを使用する場合があります。これにより、ファイルに保存されている生体認証情報と照合して個人の身元を確認できます。医療分野では、生体認証を使用することで、患者に薬が投与されているか、正しい人に処置が行われているかを確認できます。
多要素認証
生体認証要素を他の認証要素と組み合わせて使用することで、多要素認証 (MFA)の実装に対するサイバーセキュリティを強化できます。
MFAには、パスワードなどの情報と、指紋スキャンなどの生体認証要素の情報の両方が含まれる場合があります。2つ以上の識別手段(少なくともその1つを簡単に盗むことができないもの)を要求することで、MFAは攻撃者がユーザーのアカウントを乗っ取ることを困難にします。
監視
生体情報は個人を観察し、その動きを追跡するために使用できます。例えば、法執行機関は、関心のある個人を識別するために、顔の特徴や指紋の生体認証スキャンをよく使用します。
支払い
支払い処理に生体認証を使用することで、金融取引の検証を迅速化し、ユーザー・エクスペリエンスを合理化できます。例えば、指紋リーダーを使用してスマートフォンでの支払いを確認したり、音声認識を使用してオンライン・バンキングの指示を確認したりできます。
Whole Foods社の店舗に手のひら読み取り装置を設置するなど、一部の実店舗でも生体認証による決済を実験的に導入しています。7
IBMお客様事例
お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。
生体認証システムは、組織や消費者に大きなメリットをもたらします。生体認証は、記憶に残るユニークなものであるため、多くの場合、迅速で使いやすく、信頼できる本人確認を速やかに行うことができます。
セキュリティーの強化
パスワードやIDカードは指紋よりも盗むのが簡単ですが、虹彩スキャンやその他の物理的な目印をコピーすることは、ハッカーにとって(映画の中以外では)非常に困難です。
生体認証セキュリティー・システムが完璧であると言っているわけではありません。システムのミスによりユーザー・アクセスを誤って拒否する可能性もありますが、逆に、システムが間違ったユーザーを許可した場合には、行われるべきではなかった承認がなされることもあります。
あまり洗練されていない生体認証システムの中には、なりすましに対する脆弱性を持つものもあります。例えば、顔認識システムは、実在の人物であろうとディープ・フェイクであろうと、印刷された写真や録画されたビデオによって騙される可能性があります。
操作性
生体認証は人の身体的側面に依存しているため、その識別はいつでも可能です。掌紋は手元に残りますが、マイクロチップ付きIDカードは置き忘れることがあるかもしれませんし、複雑なパスワードは忘れてしまうかもしれません。
迅速な特定
ユーザーは、生体認証を使用することで、小売環境のバーコード・リーダーなどの機器に、より迅速にログオンできるようになる可能性があります。通常、パスコードを入力するよりも指紋をスキャンする方が時間がかかりません。
また、生体認証は、パスコードよりも安全です。小売店や同様の環境の共有機器では、パスコードは「1111111」のような単純なものであることがよくあります。