ページの先頭です

技術動向レポート

バイオメトリクス認証とセキュリティ評価(1/2)

情報通信研究部 情報セキュリティ評価室 マネジャー 大堀 雅勝

IoT(1) やFinTech(2)という言葉に代表されるようにIT技術の活用が進む中、本人認証を行う技術として、生体的特徴を利用するバイオメトリクス認証への関心が高まっている。

本稿では、日本におけるバイオメトリクス認証製品のCC(3)による評価・認証に関する取り組みについて紹介する。

はじめに

IT技術の活用が進む中、他人のなりすまし対策の重要性が増している。他人のなりすましを防止するための本人認証技術として、バイオメトリクス認証への関心が高まり、銀行のATM等でも使われ始めている。一方、バイオメトリクス認証においては、生体の状態に起因する判定結果のばらつきや、偽造生体を利用した攻撃に対する対抗など、セキュリティ面での課題もある。

本稿では、パスワード認証とバイオメトリクス認証の比較を行い、バイオメトリクス認証の特徴を紹介した後、バイオメトリクス認証製品のCCによる評価・認証に向けた取り組み、ならびに、国際標準化に向けた展望について紹介する。

1. パスワード認証とバイオメトリクス認証

IT製品を利用するうえで最も身近な認証技術はパスワードによる認証であろう。これはパスワードを認証情報として用い、登録されているパスワードとの一致により本人を認証する技術であり、様々な場面で用いられている。一方、バイオメトリクス認証は、生体的特徴を認証情報とする技術であり、以下のような生体的特徴が利用されている。

  • 指紋
  • 手などの中に流れている静脈の血管
  • 手の形
  • 目の中の虹彩

パスワード認証とバイオメトリクス認証の間には様々な違いがあるが、図表1はその一例である。

バイオメトリクス認証は、パスワードのように記憶するものが無く、また、身体部位を提示するなどすれば良いといったユーザにとってのメリットに加え、入力データと登録データの類似度に基づく判定値(しきい値(4)を調節することで安全性を調節することが可能であり、運用者にとっても優れた特長を持つ技術である。このような特長からその利用が拡大してきているが、バイオメトリクス認証の性能の表し方や評価の方法にはバラつきがあり、導入を予定している運用者や利用するユーザが安全性を客観的に比較・評価することが難しい。このような背景により、バイオメトリクス認証製品の安全性を客観的に評価するための統一された方法の確立が期待されている。

図表1 パスワード認証とバイオメトリクス認証の違い
図表1

2. バイオメトリクス認証の特徴

(1)類似度による判定

一般にバイオメトリクス認証は、入力データから特徴データを抽出し、登録されている特徴データと比較することで、本人か否かの判定を行う。入力データは身体の部位を入力装置(5)に提示することで得られるが、提示の仕方に加え、提示者の体調、気温、湿度といった環境の影響を受けるため、通常完全には一致しない。指紋の場合には、湿度の異なる夏と冬で入力データに差異が生じ、静脈の場合には、気温の影響による血管の拡張・収縮により入力データに差異が生じることがある。このようなことから、バイオメトリクス認証においては、パスワード認証における完全一致での本人判定とは異なり、入力データと登録データの類似度による判定が行われる。

図表2は類似度による判定の概要を表したものである。類似度はスコアと呼ばれる数値で表されるが、類似度の個人差や入力データの変化から、その値は単一とならずある範囲に分布する。この分布は、本人と本人の比較によるものと、本人と他人の比較によるものがあるが、通常、両者は重なりを持つ。本人か否かの判定は、スコアにしきい値を設定して、その値より高い場合には本人と、そうでない場合には他人と判断するが、前述の重なりにより、登録されている本人が他人と誤判定される、あるいは、他人が登録されている本人と誤判定されるケースが発生する。前者の割合をFRR(False RejectRate 誤拒否率)、後者の割合をFAR(FalseAccept Rate 誤受入率) と呼ぶ。図表2で明らかなようにFRRとFARはトレードオフの関係にあり、安全性を重視してしきい値を高く設定すると、FARが低下するが、FRRが高くなり利便性が低下する。逆に、しきい値を低く設定すると、利便性が高まるが安全性が低下する。このように、FRR、FARはバイオメトリクス認証製品の性能を表す重要な指標である。また、認証を行うためには前もってデータを登録しておく必要があるが、入力データのばらつきと不正なデータの登録を防止するための機能等が原因で登録に失敗することが起こりえる。この登録に失敗する割合をFTE(Failure To Enrol 生体情報登録失敗率)と呼び、適用性にかかわる指標である。

これら3つの値はバイオメトリクス認証製品の性能を表す値としても利用される。

図表2 バイオメトリクス認証における類似度の判定(6)
図表2

  • 本レポートは当部の取引先配布資料として作成しております。本稿におけるありうる誤りはすべて筆者個人に属します。
  • レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。全ての内容は日本の著作権法及び国際条約により保護されています。
ページの先頭へ