【特集】
導入前に知っておきたい
バイオメトリクス認証(後編)
〜 導入に当たり検討すべき項目とは

中登義仁
大竹章裕
ネットマークス
2003/12/26


 前編では、バイオメトリクス認証に関する概要やそれぞれの製品タイプのメリットなどを紹介した。今回は、バイオメトリクス認証市場の動向や導入に向けて役立つと思われる利用方法や導入例などを紹介する。ぜひとも、導入時の参考にしていただきたい。

 導入に向けての検討項目

 バイオメトリクス認証の導入に当たり、知っておきたい検討項目を紹介する。

  1. デスクトップタイプのバイオメトリクス認証

    デスクトップタイプは、デスクトップにソフトウェアをインストールするだけでバイオメトリクス認証を実現するもので、おのおののデスクトップで完結しており、バイオメトリクスのテンプレート情報(個人の生体情報)は、デスクトップ上のハードディスクに格納される。

    従って、複数の端末を利用する場合、すべての端末にテンプレート情報を登録必要があるため、不便なことが多い。しかし、このタイプの製品には、バイオメトリクス認証を購入する際に、各メーカーから、有償/無償で登録に必要なソフトウェアが提供されている。

  2. クライアント/サーバタイプのバイオメトリクス認証

    デスクトップタイプは、端末ごとにテンプレート情報を登録するが、クライアント/サーバタイプはサーバに1度登録を行えば、複数のクライアント(端末に依存することなく)の認証が可能になる。このタイプのソフトウェアは、認証装置メーカーからは提供されている場合は少なく、サードパーティから提供されていることが多い。

    また運用に関して、クライアント/サーバタイプを導入するに当たり、最も考慮すべき点は、テンプレート情報を格納するサーバのセキュリティである。当然のことながら、サーバには個人の生体情報(実際は特徴点で生体情報への可逆性はない)が保存されるため、利用者としては、その情報の扱い方法が気に掛かる。従って、運用基準書を作成し、常時閲覧できる状態にすることや運用方法の説明するなど、利用者に理解を得ることが必要であると考える。

  3. 認証が行えない場合

    バイオメトリクス認証の導入で、考慮すべき最も重要なポイントとして、指紋認証の場合は、指紋が採取できないときの対応および、認証デバイスが壊れた場合の対応が挙げられる。

    これら事象が発生すると、情報システムにアクセスできず、業務が滞る可能性が高いため、認証の代替手段を検討し、システムの一部としてあらかじめ実装しておかなければならない。一般的には、一時パスワードを期限付きで発行し、復旧後、バイオメトリクス認証を利用するような手段がよいと考えられている。

  4. テンプレート情報の登録

    バイオメトリクス認証を導入する際、もう1つの重要な検討課題として、テンプレート情報をどのように登録するかが挙げられる。

    「テンプレート情報=生体情報」であるため、本人でなければ登録は不可能である。例えば、全国に支社・支店がある場合などは、本社(1個所)に集まって登録することだけでなく、各地方拠点にて本人確認を行い、遠隔からの登録が実現可能であるかなど、実運用部分を検討する必要がある。

  5. 何に利用するのか?

    それでは、バイオメトリクス認証は何に適応できるのであろうか。Windowsのログインに利用するのか、アプリケーションへのログオンやシングルサインオン(SSO)に利用するのか、利用側の要求により利用用途は多数考えられる。また、その用途に応じて製品の選択の方法も変わってくる。

    現在、販売されている製品の多くは、Windowsへのログイン、WebサイトやWin32アプリケーションへのパスワード代行入力、ファイル/フォルダの暗号化などを実装している。これら以外で利用したい場合は、専用の開発キット(SDK)を使い開発を行わなければならないことが多い。一部ではあるが、Webサイト上での認証やSSO、PKI機能を実装している製品もある。

 バイオメトリクス認証装置と関連の深い
 ソフトウェアを整理

 ここでは、主にPCセキュリティにおけるソフトウェアについて紹介する。バイオメトリクス認証装置と関連させてソフトウェアを整理すると3つのカテゴリに分けることができる。

1. バイオメトリクス認証装置のメーカーが開発した専用ソフトウェア
2. ソフトウェア開発会社が特定メーカーのバイオメトリクス認証装置向けに開発したソフトウェア
3. ソフトウェア開発会社が複数のメーカーのバイオメトリクス認証装置に対応できるように汎用性を持たせ開発したソフトウェア

 以下、カテゴリごとに解説する。

  1. バイオメトリクス認証装置のメーカーが開発した専用ソフトウェア

    装置メーカーが開発し提供しているケースと、別のソフトウェアメーカーからOEMを受け提供しているケースがある。OEMを受けている場合も装置メーカーブランドで提供されていることが多いためこの分類に含むこととした。

    主にクライアント端末向けのソフトウェアであり、いわゆるデスクトップタイプに分類されるものである。また、便利なツールとしてログオン時の認証のほかに、ファイル/フォルダの暗号化機能、パスワード代行入力機能が付属しているものが多い。

    PUPPY Suite(ソニー)

    ソニーから販売されている3種類の指紋認証装置向けに自社で開発したソフトウェア。
    FIU-710、FIU-900、FIU-600用のそれぞれPUPPY Suiteがある。また、パーソナル版とプロフェッショナル版があり、前者はすべてユーザーが管理し、後者はFTPサーバなどを利用して管理者が利用制限をかけて使用するタイプとなる。

    セキュリティを非常に意識した製品であり、当然のことながら自社開発の装置のスペックをフルに引き出したソフトウェアである。一方で、1人1台というトークンデバイスとしてのコンセプトを持っており、ソフトウェア的に複数人数での使用ができない仕組みをとっている。ただし、それぞれの装置によって機能が若干異なるので導入の際には注意が必要である。
    ソニーPUPPY

    <主な機能>
    ・ Windowsログオン
    ・ パスワードプロバイダ
    ・ フィンガークリック
    ・ 保存ファイルの暗号化/復号化
    ・ 送信データの暗号化/復号化
    ・ スクリーンセーバーロック

    さらに電子証明書利用のためのPUPPY Internet Tokenというソフトウェアも販売されている。こちらは、ユーザーが指紋認証で個人の特定を行って初めて証明書を利用できるというものである。

    OmniPass(ターガス)

    ターガスの指紋認証装置DEFCON Authenticator USB HubおよびPC Card Fingerprint Reader向けのソフトウェアである。SoftexからOEMを受けているが実質専用ソフトウェアである。スタンドアロン用のソフトウェアであり、導入も比較的簡単である。まずは指紋認証がどういうものであるかというのを知るためにはよいと思われる。

    <主な機能>
    ・ Windowsログオン
    ・ パスワード代行入力
    ・ ファイル/フォルダの暗号化

    SecuDesktop 2000(日本セキュアジェネレーション)

    同社の光学式指紋認証装置EyeDオプティマウス/ハムスター向けのソフトウェア。 360°認証に対応しており、どの方向からでも指紋認証可能である。また、認証精度を向上させるために自動的に画質の調節ができるなど、指紋認証装置メーカーとして装置だけでなくソフトウェアもスタンドアローン向けとして完成度は高い。装置が2003年9月にバージョンアップしたことに付随してデバイスドライバがバージョンアップした。そのため、他社のソフトウェアでは対応できない場合があるので注意が必要である。

    SecuGen EyeDオプティマウス

    <主な機能>
    ・ SecuLogon Windowsログオン
    ・ SecuFolders フォルダの暗号化/複合
    ・ SecuSaver スクリーンセーバーロック
    ・ SecuViewer ログビューア
    ・ SecuBackup 暗号化フォルダの復旧

    SecuIBASSecuVLANWhoIsItなどスタンドアローン用、クライアント/サーバ用の同社装置専用ソフトウェアを提供している。

  2. ソフトウェア開発会社が特定メーカーのバイオメトリクス認証装置向けに開発したソフトウェア

    認証装置メーカーの開発キット(SDK)を使用して、ソフトウェア開発会社がある特定の目的のために開発することが多いためあまりパッケージングされていない。そのため、ここでは紹介できる製品が少ないが、実際は、このケースがバイオメトリクス認証の導入で最も多い。

    WinSafe(システムニーズ)

    スマートカード用とFIU-710、FIU-600などの指紋認証装置用の製品がある。ユーザーごとの照合精度の調整など細かい設定が可能であり、機能も豊富である。また、ソニー製の指紋認証装置を使った導入実績も多い。ただし、WinSafe用の指紋認証装置は専用のカスタマイズがされているため、通常流通している装置では使用できないため注意が必要である。

    <主な機能>
    ・ フィンガースターター機能
    ・ シングルサインオン機能
    ・ 自動ログイン機能
    ・ 自動ログオフ機能
    ・ 使用者起動制限機能
    ・ スクリーンセーバーによるロック機能
    ・ 自己複合型暗号機能
    ・ 自動暗号複合化機能
    ・ 随時暗号複合化機能
    ・ タイムカード機能
    ・ 電子証明書格納機能(FIU-710版のみ)

  3. ソフトウェア開発会社が複数のメーカーのバイオメトリクス認証装置に対応できる用に汎用性を持たせ開発したソフトウェア

    指紋認証、顔認証、声紋認証、サイン認証など複数の認証方式に対応しており、さらにそれぞれの認証方式において複数メーカーの認証装置をサポートするソフトウェアである。一般には、クライアント/サーバ構成を取り、ユーザーの集中管理ができるものが多い。それぞれの認証装置メーカーから提供される開発キット(SDK)を使いバイオメトリクス認証方式の統合管理が可能な環境を実現する。

    複数の認証方式を組合せることも可能であり、「マルチモーダルバイオメトリクス認証」と呼ばれている。最近では、ICカードとの連携を実現したものも多く、前編で述べたテンプレート・オン・カードやマッチ・オン・カードなどの機能を搭載したものがある。

    SecureSuite(I/O Software)

    スタンドアローン環境で動作するWorkstation版とマイクロソフトActive Directoryを拡張することによるユーザー集中管理が可能なServer版がある。クライアント/サーバ構成をとる場合、Workstation版がそのままクライアントソフトウェアとなるため、段階的な導入に向いている。

    Windows OSの管理メニューを拡張したユーザーインターフェイスを持つため、管理者が比較的簡単に設定できる。ユーザー情報はActive Directoryを拡張して格納するためデータベースを複数持つ必要がなく運用が一元化できるというメリットがある。

    一方でActive Directoryに手を加えたくないユーザーやそもそもActive Directoryを利用していないユーザーには導入し難いという面もある。I/O SoftwareはBAPIと呼ばれるバイオメトリクスAPIを開発し、BioAPIコンソーシアムのAPI策定にも一役買っている。また、スタンドアローン版は装置メーカーへOEM提供も行っている。

    <主な対応認証装置およびアルゴリズム>
    【指紋】 ・ Defcon Authenticator USB/PCMCIA(TARGUS)
      ・ Digitus FIC-200(サイレックス)
      ・ FIU-710/900(ソニー)
      ・ FIU-600(ソニー)
      ・ 5th Sense USB/Parallel/PCMCIA(Veridicom)
    【虹彩】 ・ Authenticam BM-ET100US(Panasonic)

    上記以外にも、ICカードやUSBトークン、準サポートのバイオメトリクス認証がある。

    SF2000 Bio(FSAS)

    国産のマルチバイオメトリクス認証のソフトウェアである。顔認証、声紋認証、指紋認証、サイン認証に対応しており、認証装置も国産のものを多くサポートしている。また、シングルサインオンのソフトウェアであるgetAccess(Entrust)や暗号化ソフト(DRM)の秘文(日立ソフトウェアエンジニアリング)などすでに対応しているアプリケーションも多い。

    <主な対応認証装置およびアルゴリズム>
    【指紋】 ・ FS-210P/210U(富士通)
      ・ PK-FP001M/FP002M(日本電気)
      ・ PK-800-01(日本電気)
      ・ IDマウス(シーメンス)
    【顔】 ・ マイクロソフト社「Video for Windows」準拠カメラ(Viisage)
    【声紋】 ・ クリエイティブメディア社「サウンドブラスター」および互換の音声ボード対応マイク(VoicePassport)
    【サイン認証】 ・ ワコム「FAVOシリーズ」ほか
      ・ CyberSIGN(日本サイバーサイン)


    <主な対応アプリケーション>
    ・ getAccess(Entrust)
    ・ SecureTicket(横河電機)
    ・ 秘文/Enterprise(日立ソフトウェアエンジニアリング)
    ・ ASTMAC(横河電機)
    ・ mySAP.com(SAP)


    BNX Identity Management Suite(BNX Systems)

    バイオメトリクス認証において最もCPUパワーの消費するマッチング処理をクライアントで行うため、サーバでの負荷が非常に小さいという特徴がある。また、最近ではパスワード代行入力機能を拡張したシングルサインオン機能を強化しており、ターミナルエミュレータなどへの対応も可能である。管理者ツールが英語版のみであるため、やや運用管理者に負担は大きい。

    <主な対応認証装置およびアルゴリズム>
    【指紋】 ・ FIU-710(ソニー)
      ・ FIU-600(ソニー)
      ・ Defcon Authenticator USB/PCMCIA(TARGUS)
    【顔】 ・ FaceIt(Visionics)
    【サイン認証】 ・ CyberSIGN

    上記以外にもICカードやUSBトークン、準サポートのバイオメトリクス認証がある。

    <主な対応アプリケーション>
    ・ Entrust Entelligence 4.0(Entrust)
    ・ SecureRemote 4.1(Check Point)
    ・ ZENworks 4.3(Novell)

 以上、解説したソフトウェアは、あくまでも一部であり、ほかにも数多くのソフトウェアが存在する。バイオメトリクス認証を利用する場面を考えるとパッケージソフトウェアのみでは対応できない場合が多く、メーカーカスタマイズやオーダーメードのシステムも多く存在する。そのためソフトウェアを購入しても、すぐに利用できることは少ないが、今回は比較的導入の行いやすい――パッケージとして完成度の高い製品を紹介した。

 認証装置メーカーも認証ソフトウェアメーカーもさまざまな提供形態が存在する。導入を検討する場合は、使用目的とコストなどのことよりその場にあったものを選択する必要があるだろう。

 さまざまな利用方法と今後の展開

 現状、最も多くバイオメトリクス認証が採用されているのは、ドアロックの解除などフィジカルアクセス分野のセキュリティである。今後は、IT分野への導入が伸びるといわれている。下記にユニークな利用方法を挙げる。

  1. ゲームセンターでのメダル管理

    日本ユニカは、ゲームセンターでのメダル(コイン)を預ける機械に指紋認証装置を搭載し、ゲームセンターのカウンタ(人手)を経由することなく、個人認証を行い、メダルの預け入れや返却が行えるシステムを提供している。
    日本ユニカ COIN EXPRESS

    メリットとしては、ゲームセンター側はこの業務に携わる人件費を削減でき、利用者側は、いつでも簡単にメダルの預け入れや返却ができる。本システムにおいて注目すべき点は、実際に数十万人の指紋データが登録されて、実際に指紋認証を利用している点であり、指紋認証が運用に耐えることを実証した。

  2. 企業における勤怠管理

    いままでタイムカードで行っていた業務に対する勤怠管理をバイオメトリクス認証によって行うものである。メリットとしては、以下のような事例がある。

    チェーン店展開を行っているような企業では、アルバイト従業員の管理する側もアルバイト従業員であるという場合があり、どうしても管理が甘くなりがちである。

    例えば、ちょっとした遅刻などの場合、ほかのアルバイトに代わりに打刻してもらうという話もときどき耳にすることがある。もちろんモラルの問題ではあるが、タイムカードであれば第3者が簡単になりすますことが可能であるというのも事実である。1つ1つはたった15分や30分の小さな不正申告による額(人件費)だが、これが大規模チェーン店の経営者側から考えると大きな負担になる。

    実際に導入した企業では、勤怠管理システムにバイオメトリクス認証を導入したおかげで人件費が大幅に削減でき、数カ月で導入費用を回収できたという話もある。

  3. 飛行機の搭乗手続きシステム

    国土交通省の「eエアポート」構想の一環で、成田空港で虹彩を利用した実験を始めた。チェックイン時にはあらかじめ個人情報(パスポート情報、顔、虹彩など)を登録したICチップから情報を読取り顔認証装置を利用して本人確認を行う。

    セキュリティゲートではチェックインが終了していることを自動的に確認し、同時に虹彩を利用して本人確認を行う。また搭乗ゲートでも同様に虹彩による本人認証を行う。このように複数のバイオメトリクス認証を効果的に利用することにより、確実で迅速な本人認証を実現しようとする試みである。また来年1月からは韓国・仁川国際空港でも始めると発表されている。

 このようにバイオメトリクス認証は、今後、さらにさまざまな場面で利用が進んでいくと考えられる。バイオメトリクス認証が標準装備されたPCも発売されるだろうし、社会生活において認証が必要な場面(キャッシュディスペンサやWebショッピングなど)における利用も進むであろう。

 また、携帯電話においても、内部の住所録などを保護するために指紋認証装置が搭載されている機器が販売されている。対面であれば、他者の目測やその人の挙動などで本人であるか否かを確認することも可能であるが、対面でないネットワーク社会において確実に個人を特定しなければならない場面では、他人に貸すことが不可能なバイオメトリクス認証が最も有力な手段であることは間違いない。バイオメトリクス認証に関する技術も実用域に達しており、加速度的に導入が期待される。

 以上、バイオメトリクス認証技術の市場動向や導入に向けて役立つと思われる利用方法、導入例などを紹介した。ウイルス対策ソフトウェアやファイアウォールなどのようなセキュリティ対策製品に比べて普及率は決して高くはないが、シングルサインオンやワンタイムパスワード、VPNなどのさまざまなセキュリティソリューションと組み合わせることでよりセキュリティを強化することができるため、注目しておきたい分野の1つだ。本記事が、将来、企業や公共機関などで本人認証システムの導入を検討する際に、少しでも参考となれば幸いである。

「前編」へ  

Index
特集:導入前に知っておきたいバイオメトリクス認証(前編)
特集:導入前に知っておきたいバイオメトリクス認証(後編)

参考
特集:バイオメトリクス技術の特徴とPKI
特集:バイオメトリクスカタログ(前編)
特集:バイオメトリクスカタログ(後編)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間
@IT