自治体における「二要素認証実現」のポイント:市区町村の情報セキュリティ(2)(2/2 ページ)
2015年に総務省の「自治体情報セキュリティ対策検討チーム」が公開した報告資料をベースに、市区町村のセキュリティ対策について考える本連載。第2回は、前回紹介したセキュリティ4要件の1つ「二要素認証」を実現するためのポイントを解説します。
生体認証
続いて、生体認証について解説します。生体認証のシステム構成は、前述したICカード認証の構成と基本的には同じです。ICカードは不要ですが、「1.管理サーバ」「2.クライアント用ソフトウェア」「3.生体認証の装置」が必要になります。
以下で、生体認証の主な例として、指紋認証、静脈認証、顔認証の特徴を紹介します。なお、製品によっては「指紋と静脈」など、複数の生体認証に対応しているものもあります。
| 認証の種類 | 指紋認証 | 静脈認証 | 顔認証 |
|---|---|---|---|
| 認証方法 | 指紋の形で認証する | 指や手のひらの静脈(血管)の形で認証する | 目や鼻の位置など、顔の形で認証する |
| 認証デバイス | 指紋認証装置 | 静脈認証装置 | PC内蔵カメラやWebカメラ |
| セキュリティの強度(偽造の難しさ) | 認証情報が表面に露出しているため、偽造される可能性が否定できない | 血液が流れていないと認証エラーになるなど、セキュリティ強度は高い | 写真で認証できてしまう場合がある(※ただし、これを防止するための「まばたき検知」などの機能もある) |
| 経年変化 | 最も経年変化が少ないのは静脈だといわれている。他の方式では、経年変化に対応し、認証の都度情報を書き換える仕組みを付与しているものもある。 | ||
| 認証スピード | どの方式も、ストレスなく利用できる程度に良好 | ||
| 認証精度の例 | FRR=0.1%以下 FAR=0.0001%以下 (参考リンク:ディー・ディー・エス) |
FRR:0.01% FAR:0.0001% (参考リンク:日立ソリューションズ) |
FRR:0.5% FAR:0.01% (参考リンク:グローリー) |
| その他の特徴 | ・読取装置が小さい ・古くからある技術で、他に比べて安く導入できる ・指の油、汗などが装置に付着する可能性がある |
・銀行ATMでは、最もよく利用されている方式 ・指紋認証と違い、認証装置に直接触れる部分が小さい(製品によっては非接触) |
・Webカメラの費用は安価であり、静脈認証に比べて安価で導入できる ・常時監視機能を用いれば、本人が離席したときに自動で画面をロックすることができる |
| 図表4 生体認証方式の比較 | |||
認証精度に関して、FRRとFARの説明を補足します。「FRR(False Rejection Rate:本人拒否率)」は、本人を誤って拒否(Rejection)してしまう確率で、これが高いと、本人なのにログインできないことが多くなります。「FAR(False Acceptance Rate:他人受入率)」は、他人を誤って受け入れてしまう(Acceptance)確率で、これが上がると不正な第三者にログインされてしまう危険性が高まります。“FRRを低下させようとするとFARが高まってしまう”というように、両者はトレードオフの関係にあります。
一昔前は、生体認証といえば「何度も認証エラーになる」といったイメージを持たれていた時期もありました。しかし、最新の生体認証機器では認証精度が大きく向上しており、認証に使う部位を隠したり、極端に素早く動いたりするなど不自然なことを行わない限り、100%に近い確率で認証に成功するようになっています。また、認証速度も年々向上しており、利用者数などによる影響はあるものの、おおむね1秒以内には認証が完了するようになっているようです。
二要素認証の導入作業
では、実際にこれらのシステムを導入するに当たり、どのような作業が必要となるのでしょうか。
まず、ICカード認証の場合は、職員証など既存のICカードを流用できる可能性があります。その際、既存のICカードの設定変更は不要です。ICカードリーダは、ICカード固有の番号(例:FeliCaの場合はIDm)を読み取るだけだからです。また、ICカードを流用する場合も新規に購入する場合も、固有ID番号などの情報を、CSVファイルなどで一括登録することができる点は便利です。
一方、生体認証の場合は、ユーザー(職員)の生体情報を個別に登録する作業があります。従って、ICカード認証に比べて、システム管理者とユーザー双方の負担が増えます。生体情報の登録は、1人につき3回程度の読み取り作業を行うだけですが、職員に作業手順を説明したり、事前に“本人確認”をする必要があり、意外に手間が掛かるのです。
とはいえ、一度登録してしまえば、忘れることも紛失することもないという点で、導入後の運用の手間は軽減される仕組みだといえます。
さて、今回は、二要素認証に関して、特にICカード(所持)と生体認証(存在)を取り上げて解説しました。一口に二要素認証と言っても、前述したようにさまざまな方式があり、それぞれに利点があります。各自治体にとって、最適な方法を選択するのが望ましいでしょう。
筆者プロフィール
▼粕淵 卓(かすぶち たかし)
西日本電信電話株式会社 ビジネス営業本部 クラウドソリューション部 セキュリティサービスG 主査。現在はセキュリティの専門家として大規模なセキュリティシステムの設計、インシデント対応、コンサルティング、セミナーなどを担当。保有資格は、情報セキュリティスペシャリスト、ITストラテジスト、システム監査技術者、技術士(情報工学)、CISSPなど多数。著書に「NetScreen/SSG 設定ガイド(技術評論社)」などがある。
Copyright © ITmedia, Inc. All Rights Reserved.
多段階認証、多要素認証から不正アクセス対策を考える 
GitHubにブルートフォース攻撃、一部のパスワードが破られる
二段階認証は面倒くさい?