ページの先頭です

生体認証システムのセキュリティ評価

2017年2月28日 情報通信研究部 金子 浩之

はじめに

生体的特徴(指紋、静脈、顔、虹彩など)や行動特性(声紋、筆跡など)といった生体に関する特徴情報を使った本人認証は生体認証と呼ばれ、物(IDカードなど)や記憶(パスワードなど)に基づく認証と比べ、一般的に「なりすまし」がされにくく、可搬性や運用性が高いといわれる。2001年の米国同時多発テロの後には、入国審査や重要施設の入退室管理における生体認証へのニーズが国際的にも高まり、これまでにさまざまな製品が市場に投入されている。国内でも、指や手のひらの静脈パターンを使用する静脈認証が、銀行ATMに採用されてから10年が経過し、最近では、パソコンやスマートフォンのロック解除や決済認証に指紋をはじめとするさまざまなタイプの生体認証の適用が進みつつある。

第三者評価の必要性

こうした生体認証を応用したシステム(生体認証システム)は、さまざまな用途で利用されているが、その性能を客観的に評価する枠組みは、まだ十分とはいえない。現在、生体認証を提供する側の製品ベンダーによる、自社製品の性能の自己評価を目的とした国際標準としてISO/IEC19795がある。しかしながら、こうした標準に従わず、信憑性に乏しい、もしくは、検証基準が曖昧な数値をカタログに掲載しているベンダーも少なくない。

今後、生体認証システムの市場が健全に発展していくためには、上述の自己評価の枠組みに加えて、第三者評価の枠組みが必須であろう。第三者評価の枠組みが確立すれば、生体認証システムを導入する利用者側はもちろんのこと、製品ベンダーにとっても、カタログ値の妥当性が客観的に保証されることから、そのメリットは非常に大きいと考えられる。

では、どのようにして生体認証システムの第三者評価の枠組みを確立するのか。IT製品の分野では、情報セキュリティの第三者評価の枠組みの国際標準としてISO/IEC15408がある。同規格はコモンクライテリアと呼ばれ、この枠組みを利用したITセキュリティ評価・認証制度が、日本をはじめすでに主要各国で運営されている。このコモンクライテリアの枠組みを用い、生体認証システムの「生体的特徴の照合に関する性能」と「偽造物への対策」をセキュリティの要件と捉えると、第三者評価が可能になる。当社も第三者評価機関として、この枠組みを用いてサービスを提供している。

「生体的特徴の照合に関する性能」の第三者評価

生体認証システムの性能評価に用いられる主な指標は3つあり、本人の生体情報を正確に登録できること、本人を正しく認証すること、他人を適切に他人と見分けることのそれぞれのエラー発生確率を評価する。ISO/IEC19795では、各々をFTE(登録失敗率)、FRR(誤拒否率)、FAR(誤受入率)と表現している。生体認証システムの製品ベンダーは、製品の想定利用者の人口統計分布に合わせて数千から数万人規模で被験者を集め、実際に操作してもらいFTEとFRRを算出する。その後、他人同士のデータを用いて照合のシミュレーションを行い、FARを算出する。さらに、値の信頼性を高めるための統計的な補正を行ない、FTE・FRR・FARの宣言値を算出する(*1)。

第三者評価では、まず、製品ベンダーの自己評価の記録(性能評価の方法、スコアデータ(*2)、FTE・FRR・FARの実測値・宣言値など)から、データの一貫性を確認する。次に、評価機関自ら被験者を募集し、FTE・FRR・FARの評価を行う。第三者評価の被験者の数は、製品ベンダーの性能評価の信頼性が判定可能な程度の適量に抑えるために、まず一定数(100名など)の被験者で性能評価を実施する。第三者評価でのエラー発生確率が、製品ベンダーの性能評価時のエラー発生確率と統計的に同等であることを確認し、もしこの条件を満たしていない場合は、条件を満たすまで、被験者を追加し性能評価を実施する。また、スコアデータを比較・分析するために、仮説検定と呼ばれる統計的な手法を適用することもある。第三者評価ではこのように、随所に統計的な分析を適用し、効果と効率のバランスを取りながら製品ベンダーの自己評価の結果の信頼性を判断することになる。

「偽造物への対策」の第三者評価

生体認証システムの攻撃者は、その脆弱性を探し出し、本人以外による認証が成功するように攻撃を行うことが想定されるが、なかでも生体情報を模した偽造物を使って試行する攻撃が代表的である。これに対し、多くの生体認証システムは、生体でない提示物を判定するための仕組みを備える。例えば、温度センサーや特殊な光学センサーなど、生体の特徴に応じて設置した各種センサーからの情報を解析し、さらに提示の行動様式を分析するなどして、生体認証システムに提示されたものが生体か偽造物かを判別する。

第三者評価では、まず、対象システムの仕様や設計情報から脆弱性が懸念される箇所を割り出す。そして、公知の脆弱性情報や技術論文等に基づき、攻撃を模擬するための偽造物を生成し、擬似的な攻撃により、脆弱性の有無や偽造物の提示への耐性を評価する。

今後の展開

現在、コモンクライテリアの国際相互承認協定(CCRA)の活動の一環として、生体認証システムのセキュリティに対する要求やその評価に係る国際的な共通の枠組みを整備するためのテクニカルコミュニティが組成されたところである(*3)。今後は、セキュリティに関する第三者評価機関として、生体認証システムのセキュリティ評価で得た知見や課題を、このテクニカルコミュニティと共有しながら、生体認証システムの評価の効果・効率の向上に寄与していきたい。

  1. *1FTE・FRR・FARの宣言値の算出には、95%信頼区間による区間推定などが適用される。
  2. *2個々の照合の度合いを数値化したマッチングスコアからなるデータ
  3. *3Common Criteria Projectで活動中のテクニカルコミュニティ
    http://www.commoncriteriaportal.org/communities/
ページの先頭へ