「手のひら静脈認証」は本当に業務に使えるのか?――ユーザー企業のエンジニア3人が富士通に直撃本音で語る「生体認証」

簡単で安全な認証方式として注目されている生体認証。しかし、社内のPCや業務アプリケーションへの導入となると、さまざまな不安の声が上がるのも事実だ。生体認証は本当に業務で使えるのだろうか? 手のひら静脈認証ソリューションを展開する富士通に、ユーザー企業のエンジニア3人が率直な質問をぶつけた。

» 2016年03月11日 10時00分 公開
[PR/@IT]
PR

ユーザー企業のエンジニア3人が富士通に直撃

 安全かつ簡単な認証方式の1つとして注目されている生体認証。近年の「二要素認証」の普及や金融機関の「FinTech」分野での導入などにより、その注目度はますます高まっている。とはいえ、生体認証を実際の業務PCや業務アプリケーションに導入するとなると、コストやセキュリティ、運用面でどうしても懸念事項が残るのも事実だ。生体認証は本当に業務で使えるのだろうか? そこで本稿では、生体認証の一種である「手のひら静脈認証」ソリューションを展開する富士通に、実際に企業の情報システム部門を担当するエンジニア3人が、座談会を通じて率直な疑問をぶつけた。 

座談会参加者

富士通

  • 森樹久氏(富士通 パームセキュアビジネス推進部 マネージャー)
  • 山嶋雅樹氏(富士通クライアントコンピューティング ソリューションビジネス企画統括部 ビジネス推進部 マネージャー)

ユーザー企業

  • 小島弘泰氏(システム開発 エキスパート)
  • 江藤孝太氏(生命保険 システム企画部)
  • 太田哲也氏(データセンター事業 クラウド開発室)

(順不同、ユーザー企業の出席者は全て仮名)

生体認証は使いづらい?

 ユーザー企業のエンジニアは、生体認証にどのような印象を持っているのだろうか。まずは生体認証に対する率直な印象を聞いた。

小島氏 弊社ではデータセンターの「入退室管理」で生体認証を導入していますが、PCでは採用していません。生体認証は、例えばデータセンター管理者などの限られた人がシステム管理をするときに利用するような場合にはよいと思いますが、不特定多数が端末を共有するようなケースでは使いづらいというのが正直な印象です。

太田氏 弊社も同様に入退室管理では導入していますが、PCの認証はID/パスワードのみです。業務データを入れるPCは基本的に持ち出し禁止で、持ち出す場合は業務データを入れない運用を徹底しています。生体認証を導入する場合、弊社では事業所が複数に分散しており、各人がその時々で異なる端末を使うケースがあります。このような利用形態に対応できるかどうかが気になります。

江藤氏 弊社では生体認証は導入していません。オフィスへの入退室管理は暗証番号や社員カードを使っています。ただ、カードを紛失したり暗証番号を忘れたりするリスクを考えると、生体認証を導入した方が望ましいとは考えています。

 「入退室管理」など、一部の物理セキュリティにおいて生体認証を導入しているケースはあるようだが、今回インタビューをした企業ではPCや業務アプリケーションで生体認証は採用されていなかった。

富士通の手のひら静脈認証ソリューションとは

富士通 パームセキュアビジネス推進部 マネージャー 森氏

 ここで、富士通が提供する手のひら静脈認証ソリューションの概要について聞いた。

森氏 まず、静脈センサーですが、PC内蔵タイプと外付けタイプがあります。内蔵タイプはノートPCやタブレットに搭載されているもので、世界初の端末内蔵型の非接触型静脈認証センサーです。対応OSは現在のところWindowsのみですが、他社にはない特徴として「BIOS認証への対応」があります。

 外付けタイプは、「マウスタイプ」「スタンダードタイプ」「ポータブルタイプ」の3種類(下図)を提供しており、小型で軽量なのが強みです。特にスタンダードタイプはケーブルを除けば約35g、サイズは48×48×16.4ミリメートルと非常にコンパクトです。

 また、認証の速さも強みの1つです。10年前のセンサーでは、認証に約3秒かかっていましたが、ユーザー企業からの「認証が遅い」というフィードバックを受け、今では認証だけであれば約0.8秒で完了するレベルになりました。認証精度は非常に高く、最も高精度なセンサーでの誤認識率は125万分の1程度です。現在もなお改善を進めており、2016年中にさらに精度を向上させる予定です。

PC内蔵タイプの静脈センサーと、外付けタイプの静脈センサー(左から「マウスタイプ」「スタンダードタイプ」「ポータブルタイプ」)

山嶋氏 ソリューション全体の認証の仕組みとしては、まず「SMARTACCESS(スマートアクセス)」というソフトウェアをクライアントにインストールすることで、Windowsや業務システムへのログイン時の「ID」「パスワード」などのテキスト入力を、手のひら静脈認証で代替できるようになります。

SMARTACCESSによるログインのイメージ

山嶋氏 この手のひら静脈のデータはローカルで管理することもできますし、「Secure Login Box(セキュアログインボックス)」と呼ばれるサーバで一元管理することも可能です。Secure Login Boxはユーザーの手のひら静脈データと、そのユーザーが利用する複数の業務アプリケーションのID/パスワード情報とをひも付けて管理するもので、VDI環境にも対応しています。

「Secure Login Box」との連携イメージ(富士通

手のひら静脈認証はどこまで安全なのか?

 ソリューションの説明を受け、盛んに議論されたのが手のひら静脈認証の「精度」や「安全性」に関する部分だ。

太田氏 赤外線センサーは光に弱いと聞きますが、「屋外で認証精度が落ちる」といったことはないのですか?

森氏 確かに、太陽光が直接センサーに当たるような場所では認証が難しくなるケースがあります。ただ、直射日光が当たるような環境ではそもそもモニターが非常に見づらいので、そうしたシーンで使うことはあまりないと考えています。逆に、手のひら静脈には「環境に影響されない」という特徴があります。例えば指紋は表皮の情報であるため、冬場に手が乾燥すると認証しづらくなるのですが、手のひら静脈は体内の情報であるため外的影響を受けません。指の血管を使った認証方式に比べても、手のひらは血管が多く、取り込める情報が多いため、撮影もしやすく、安定的に認証することができます。

江藤氏 手のひら静脈は偽造されにくいと聞きますが、どういった根拠があるのでしょうか。例えば、「手の情報を偽造してセンサーをだます」ということはできないのですか?

森氏 例えば「指紋認証」の場合は表皮の形状を見ているため、偽造が可能だと指摘されることがあります。静脈認証の場合は、「手の血管を流れる特定の成分(還元ヘモグロビン)を読み取る」ため、偽造は非常に難しいと考えています。金融機関での採用時に外部評価が必要になったのですが、某大学の著名な教授に検証を依頼し、その結果、偽造は難しいことを確認しています。

太田氏 専用サーバに手のひら静脈情報を登録するとのことですが、サーバ上の認証情報を窃取できれば、本人に成りすましてログインできてしまうのではないですか?

森氏 セキュリティ上の理由で詳細は述べられないのですが、本製品にはSecure Login Boxから窃取されたデータを「偽物」と判断できる機構も搭載されています。従って、盗んだ情報を使ってログインしようとしても、認証に失敗します。また、Secure Login Boxとクライアント端末間の通信も、毎回暗号鍵を自動変更しながら暗号化を行うことで、安全性を担保しています(下図)。

さまざまな運用形態への対応は?

 手のひら静脈認証の精度、安全性について聞いたところで、現場のエンジニアからは実運用に関する質問が噴出し始めた。

小島氏 ID/パスワード運用と手のひら静脈認証をハイブリッドで導入することは可能ですか? また、「パスワードの定期変更ポリシー」を運用しているようなケースには対応可能ですか?

富士通 ソリューションビジネス企画統括部 ビジネス推進部 マネージャー 山嶋雅樹氏

山嶋氏 センサーが壊れた場合の代替ログイン方法としてID/パスワードに切り替えることができるので、ハイブリッド運用も可能です。また、ネットワークに接続できないときに備えて、キャッシュログイン機能も用意されています。事前に認証用データをローカルでキャッシュすることで、制限時間内はそのデータを使ってログインすることができます。

 パスワードの定期変更に関しては、例えばLDAPで行った更新を、Secure Login Boxに反映させることで対応できます。

太田氏 Secure Login Boxと業務アプリケーションとの連携が可能とのことですが、アプリケーションがSaaS型の場合、企業IDとユーザーID/パスワードの両方の入力が必要だったり、また「Office 365」などではパスワードを入れると画面が遷移し、そこからさらにユーザーパスワードを入力させたりするようなケースもあります。こうしたパターンには対応できますか?

山嶋氏 そうしたフィードバックはユーザー企業からも多くいただいており、年々バージョンアップで対応範囲を広げているのが現状です。Web系の業務アプリケーションは独自開発のものが多いため、事前検証で対応可能かどうかを確認いただいた上で、ご利用いただいています。先ほど述べた通り、弊社製品は手のひら静脈による認証後に、SMARTACCESSが「テキスト形式でIDやパスワードを対象のログイン画面に代理入力する」という方式をとっています。このとき、最大3つまでテキストを流し込むことが可能なので、「ユーザーIDに加えて企業IDの入力が必要」といった場合でも、3つまでの情報であれば対応可能です。

小島氏 ログイン情報をプルダウンメニューから入力するようなケースには対応していますか? それから、Secure Login Box1台で、何ユーザーまでサポートされるのでしょうか?

山嶋氏 プルダウンについては、ユーザーからのフィードバックを受け、全てのケースではないものの対応済みです。Secure Login Boxの基本構成(2台)でサポートユーザー数は3000、最大構成(4台)で6000ユーザーです。

導入するとして、どうすれば「稟議を通せるか」

 手のひら静脈認証はPCログイン以外の用途も含めると既に60カ国で約6300万人の利用者がいるそうだ。国内ではある地方銀行でWindowsタブレットに手のひら静脈認証センサーを内蔵するというカスタマイズを施し、渉外活動用に2000台を導入、現在はシンクライアントでも運用しているという事例がある。「パスワードを覚えなくてよい」と現場からも好評価だそうだ。また、地方自治体や官公庁、流通業などでの導入も進んでいるという。

 座談会参加者も、デモや質疑応答を通じて、本製品に対して肯定的な印象を持ったようだ。しかし、いくら導入事例が多いとしても、ユーザーにとって最も気になるのは導入にかかる手間とコスト、そして「どうやって導入の承認を得るか」だ。

江藤氏 弊社ではシステムごとに異なるID/パスワードを用意していて、3回間違うとアカウントがロックされます。解除は情報システム部門に電話で依頼するしかなく、情シスにとってはかなりの負担になっています。こういう状況が少しでも改善されるというのであれば、このような製品はぜひ導入したいと思います。

 しかし、実は以前同僚が社内で同じような提案をしたことがあったのですが、コスト面や更新時の課題が出てきて、最終的に経営層を説得できず、導入できませんでした。

小島氏 弊社でもコストとのバランスは大きな課題ですね。以前、指紋認証を使っていたことがあったのですが、そのときは認証に時間がかかることが大きなネックでした。デモを見ると、この製品は1秒もかからず認証できるようなので、導入時にはそうしたメリットをうまくアピールできればいいのかもしれません。

セキュリティは「投資」か「コスト」か

 以上のような発言を受けて、企業のセキュリティ意識を考える上でよく議論される、「セキュリティを『投資』と考えるか、『コスト』と考えるか」を参加者に尋ねてみた。

江藤氏 弊社ではソフトウェアやファイルに関するセキュリティ対策は投資と考えていますが、物理セキュリティ対策にはあまり関心がないように思います。

小島氏 弊社は、過去の苦い経験から、情報が漏えいしたときのコストに非常に敏感です。PC1台が盗難に遭ったときに掛かるとんでもない費用を考えると、数千人に生体認証機器を配っても安いという感覚は持っています。一度でもインシデントを経験すれば、「セキュリティは投資だ」という認識が広がるのかもしれません。

太田氏 弊社では、自社が提供するサービスのセキュリティについては投資と考えていますが、自社内インフラの認証などは、全くの投資ではなく、コストとのバランスを見て検討することになります。新しいシステムを入れることで運用コストが下がる可能性があるということを経営層は理解しているので、「これを導入すればリスクとコストが下がる」という部分をしっかり説得できれば、承認は得られると思います。

導入メリットをどう伝えるか

 やはり、いくら魅力的な製品、ソリューションであっても、その導入に当たっては「権限者の承認を得ること」が大きなハードルとなる。富士通では本製品について、その導入メリットを顧客に対してどのように説明しているのだろうか。

森氏 現在、ID/パスワードの認証方式を採用している企業さまには、「その認証作業や運用にも、手間や時間というコストが掛かっていますよ」という点を理解してもらうよう努力しています。パスワード変更の手間、忘れたときの情報システム部の対応負担が軽減されれば、業務の効率アップとコストダウンにつながります。

 また、確かに導入時にはコストが掛かりますが、運用コストが大幅に下がるため、5年間の運用で十分逆転できることをお伝えしています。ある調査によれば、パスワードの管理コストは一人あたり年間8000円だそうです。一方、手のひら静脈認証センサーは正価で1万7500円です。Secure Login Boxの導入を含めても、十分逆転します。そうであれば、「パスワード運用の負担がない方がメリットも大きいのでは」といった伝え方をしています。

手のひら静脈認証の今後

 手のひら静脈認証を使うことで、キャッシュカードが要らないATMサービスを提供する銀行も出てきていることを受け、富士通では、今後もこうした取り組みを強化していきたいと明かす。また、富士通では他にも生体認証を強化する各種セキュリティソリューションを用意している。森氏は「PCログインはもちろんだが、それ以外の認証に関して解決したい課題があれば、ぜひ気軽に相談してほしい。各社各様の課題に応えることで、企業のセキュリティ強化と業務効率化の両立に寄与するだけでなく、一緒に新しい仕組み・サービスを作っていけると考えている」とまとめた。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:富士通株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年3月31日

関連リンク

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。