生体情報を保管しないセキュアな顔認証で、サインインをスムーズに:度々求められるパスワードの入力に、もううんざり?
テレワークの普及に伴い、「認証」に関わる作業の煩雑さはユーザー、システム管理者ともに増大した。パスワードや専用機器による認証以外に、もっと容易で、もっと安全な方法はないものだろうか――。
セキュリティ対策の基本の1つが「認証」だ。端末やシステムなどの利用に当たって、アクセスしてきた人が誰かを確認し、なりすましや悪用を目的とした不正なアクセスを排除することはセキュリティ対策の第一歩であり、私たちも日々の業務の中で当たり前のように認証を行っている。
ただ、新型コロナウイルス感染症(COVID-19)対策として急速に広がったテレワークの中で、何度も認証を求められ、煩わしさを感じる場面が増えてきたようだ。かといって、安易にセキュリティレベルを下げるわけにはいかない。テレワークで相手の顔が見えないからこそ、なりすましを防ぐ必要性は一層高まっている。できる限り利便性を損なうことなく、企業として必要なセキュリティレベルを担保する術はないだろうか。
テレワークの広がりでユーザーと管理者に負担となる「パスワード認証」
テレワーク普及以前のオフィス環境でも、私たちは何らかのシステムやアプリケーションを利用するに当たり認証を行ってきた。オフィスに出社してPCを起動するときに始まり、イントラネットのファイルサーバや業務アプリケーションへのアクセス、そして最近ではMicrosoft 365のようなクラウドサービスの利用など、さまざまな場面において、認証が必要である。
認証の手段はいろいろあるが、広く使われているのは「パスワード認証」だろう。しかし、複数のシステムやアプリケーションでパスワード認証を行っていると、ユーザーも管理者もともに高い運用負荷に悩まされるケースが少なくない。
例えば、簡単に推測可能なパスワードを設定していると、容易に破られ、なりすましによる不正アクセスを受ける恐れがある。そうした事態を防ぐため、記号や数字も織り交ぜた長いパスワードを設定することが望ましいのだが、それをシステムやアプリケーションごとに別々に考え、覚えなければならないユーザーの負担は増大し、忘れたり、間違えたりすることも少なくない。この結果、管理者は「パスワードを忘れてしまったので何とかしてほしい」というユーザーの問い合わせに追われ、貴重な時間を削られることになる。
ましてや、パスワードの定期的な変更を求められるシステムでは、数カ月おきに複雑なパスワードを考えて覚えておかなければならず、ユーザーに掛かる負担はますます大きくなる。最近では米国立標準技術研究所(NIST)のガイドライン(NIST SP800-63B)や総務省の国民のための情報セキュリティサイトでも「パスワードの定期的な変更は必要ない」としているが、まだまだこうした環境は多い。
さて、こうして「長くて複雑なパスワードを設定せよ」、しかし同時に「定期的に変更せよ」と求められると、複数のシステムやアプリケーションで同一のパスワードを使い回してしまうユーザーも多いのではないだろうか。だがこれは、セキュリティ的に大きなリスクをはらんでいる。一度フィッシング詐欺やマルウェア感染などでパスワードを盗み取られると、芋づる式に他のシステムへ侵害が広がる恐れがあるからだ。
そして、テレワークの普及が、こうした状況に拍車を掛けている。自宅などからVPN経由で社内ネットワークにアクセスし、業務システムを活用する場面が増えたが、それに伴って、パスワードで認証しなければならない機会も増えているからだ。
「まずテレワーク用端末にサインインし、その後VPN接続の認証を経て社内システムにつながった後、改めて必要なアプリケーションにサインインするために認証をして……という具合に、何回も認証しなければいけない形になっているケースが多いのではないでしょうか」と、日立ソリューションズ 先端セキュリティ開発部 技師の大渕豊氏は語る。
セキュリティに優れた生体認証にも残る課題
認証問題に関して、もう1つ考えておかなければいけないポイントがある。テレワークの普及に伴い、サイバー攻撃を行う側も、こうした環境をターゲットにするようになったことだ。
テレワーク環境では、企業ネットワークとは異なり、セキュリティ対策が不十分な場合もある。結果、フィッシング詐欺に引っ掛かったり、不審なリンクをクリックしてマルウェアに感染して、社内システムへの侵入のきっかけになってしまったりするケースが国内でも報告されている。
こうした点を踏まえると、認証は省くどころか、むしろ一層強化していく必要がある。そこで今広がっているのが、パスワード以外の要素を用いた認証だ。
例えば、ワンタイムパスワードを生成する専用トークンを用いたり、ICカードを活用したり、スマートフォンのSMS機能を用いてコードを送信する方式などいろいろな選択肢がある。中でもセキュリティ面で非常に強固とされているのが、指静脈や虹彩、顔など、人間の生体情報によって認証する「生体認証」だ。ただ、利用に当たっては、「どうしても追加の認証装置が必要になることが課題でした」と大渕氏は述べる。
また、「スマートフォンにおける指紋認証などの採用に伴って、生体認証は身近なものになってきていますが、利用に当たっては、自分の生体情報というプライベートな情報、機微な情報をシステムに登録しなければいけないことへの抵抗感も課題の1つとなっています」と、日立ソリューションズ 先端セキュリティ開発部 主任技師の中野信氏は指摘する。
生体認証はなりすましが難しく、非常に強固な認証を可能にする一方で、個人のプライバシーに関わる不変の情報を利用する。万一、その生体情報自体が漏えいしてしまった場合、パスワードとは異なり更新することもできず、取り返しの付かない事態を招きかねない。プライバシーに対する意識が高まり、規制も厳しさを増している中では、生体情報を保持すること自体がリスクになりかねないのだ。
従来の生体認証が抱える課題を乗り越える「PBI」
こうした背景を踏まえて日立製作所が開発したのが、「PBI」(Public Biometric Infrastructure:公開型生体認証基盤)という技術だ。
「通常の生体認証では手元に何らかの認証装置が必要なうえ、いったん生体情報を登録してサーバ側に保存し、クライアント側で読み取った生体情報とマッチングさせることで認証を行いますが、PBIは、生体情報をどこにも保管しない生体認証であることが大きな特長です」(中野氏)
PBIは名前が示すとおり、既に広く使われている「PKI」(Public Key Infrastructure:公開鍵暗号基盤)をベースにしている。公開鍵暗号方式によって認証する点は変わらないが、PBIでは、生体情報から復元不可能な一方向性変換によって抽出したデータをその都度秘密鍵として利用し、認証を行う仕組みとなっているため、生体情報そのものはどこにも保存されない。
似たようなアプローチとして「FIDO」(Fast IDentity Online)が挙げられる。スマートフォンなどの手元の端末で生体認証を行い、本人確認できれば、PCなどの端末内に保存されている「秘密鍵」を呼び出して最終的な認証を実現する仕組みだ。「FIDOでは、もし端末が盗難に遭ったり、故障したりした場合には認証ができなくなり、業務に支障が出る可能性があります。また、新たに端末を取り寄せ生体情報を再登録するといった手間が掛かるのですが、PBIは再登録なども不要でリカバリー性に優れています」と中野氏が特徴を述べる。
日立グループでは、このPBI技術を核に、公開型生体認証基盤「Biometric Signature Server」や、それを用いたクラウドサービス「生体認証統合基盤サービス」を展開してきた。既に金融機関での採用例があり、キャッシュカードなどを持たずに手ぶらでATMを利用できるサービスへの適用例がある。
PCの内蔵カメラに顔を写すだけでスムーズかつセキュアな認証を実現
そして、テレワークなどニューノーマル対応が求められる中、「追加の認証装置を導入せず、テレワーク時の認証を強化したい」というニーズに応えて登場したのが、PBI技術をベースにした「Biometric Signature サインインソフトウェア」だ。
PCなどに標準で搭載されているカメラ機能で利用可能な「顔認証」を用い、セキュアで手間の掛からない形でWindowsのサインインを行える。さらに、シングルサインオン連携により、VPN接続時の認証や企業内の業務アプリケーション、さらには主要なクラウドサービスに対するアクセスも、顔認証に一本化することができる。
「Biometric Signature サインインソフトウェアを利用すれば、PCやタブレット端末のカメラに顔を写すだけで、スムーズに認証可能です。パスワードを入力する手間も不要で、別途新たな認証装置を追加する必要もありません」(大渕氏)
システムやアプリケーションなどへの認証方式を顔認証に一本化することで、これまで、端末を起動してPCにサインインし、VPN接続を行い、業務アプリケーションにアクセスし……という作業のたびに必要となっていたパスワード入力の手間を省き、一括して認証を強化できるようになる。
Biometric Signature サインインソフトウェアは、ユーザーだけでなくシステム管理者の負荷を減らすうえでも有効だ。端末側に認証装置を用意する必要がないうえに、クラウドサービスと連携するため認証サーバの準備も不要で、スモールスタートが可能だ。さらに「セルフ登録機能」によって、ユーザー自身で利用登録が行えるようになっている。
「リモートで認証できるようにする前段階として、管理者が管理画面を開いている横にユーザーを呼んで、顔や静脈などの生体情報を登録するという運用では、そのために出社が必要になり登録作業自体も煩雑です。そこでBiometric Signature サインインソフトウェアでは、自宅にPCが届いたら、ユーザーが自分で利用登録し、認証できるようにする仕組みを提供しています。利用登録の際は、生体情報から特徴を抽出し一方向性変換したデータを登録するため、生体情報そのものは登録されません」(大渕氏)
管理者自身もWebベースで運用管理作業ができるようになっており、「テレワークを支えるために、システム管理者は出社しなければいけない」といった矛盾から解放されるだろう。
仕事の場はもちろん、日常生活のさまざまな場面への活用も
日立ソリューションズでは今後もPBIを核にしたソリューションを強化し、VPNアプライアンスや仮想デスクトップ製品をはじめ、連携可能なソリューションを増やしていく計画だ。同時に、Biometric Signature サインインソフトウェアと、端末自体の認証やセキュリティ状態を管理するツールとを連携させ、不正なユーザーだけでなく、私物や不正な端末からのアクセスを防ぐ機能の提供も検討していく。
大渕氏は、まだしばらくパスワードとの付き合いは続くかもしれないが、生体認証の活用により、パスワード入力の機会は少なくなっていくだろうと予測する。PBIはその変化を加速させ、テレワークや働き方を変えるだけでなく、決済サービスや公的な身分証明の場など、さまざまな場面で安全で使いやすい認証を実現していくだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社日立ソリューションズ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年9月15日