【抜粋記事】指紋、虹彩、顔認証... どれが安全？ スマホ生体認証の「限界」を探る

engadget
指紋、虹彩、顔認証... どれが安全？ スマホ生体認証の「限界」を探る

Samsungはフラッグシップモデル「Galaxy S8／S8+」を発表

S8では従来のGalaxyにも搭載されていた指紋認証センサーに加え、顔認証や虹彩（Iris）認証にも対応するなど、バイオメトリクス認証への対応が強化されている点が特徴

＜スマホで市民権を得つつあるバイオメトリクス認証＞

バイオメトリクス認証のメリットは大きく分けて2つのメリットがある。1つはパスワードやPINコード入力でありがちな煩雑さなしに認証が行えること、そして2つめは便利さに反して一定以上のセキュリティが確保される点

バイオメトリクス認証にはいくつかの方式があるが、現在スマートフォンでメジャーなものは指紋認証、顔認証、虹彩認証の3方式

＜最もメジャーな指紋認証＞

最も一般的な指紋認証は、本体に指紋センサーを内蔵し、ユーザーがあらかじめ登録した指紋とマッチしたときのみ認証を行う

難点としては、指が濡れた状態などでは読み取りがうまくいかないこと、そして登録した指紋さえあれば認証を突破できるということ

指紋センサー搭載のための実装スペースを端末に確保する必要もある

最近ではディスプレイパネル全体に指紋センサーを搭載する技術も登場したようだが、コスト面や歩留まりなどの問題で当面は限られた範囲での利用にとどまるだろう

＜顔認証は最も利便性が高い＞

顔認証の最大のメリットは、指紋認証のように専用のセンサーを搭載する必要がない点

さらに、指紋認証のように「センサーに指を当てる」必要があったり、虹彩認証のように「カメラの前で一定時間特定ポイントを凝視」する必要もない

一方で、「カメラの前に写真をかざす」だけで認証が成功してしまい、セキュリティが意味をなさないケースもある

加速度センサーとインカメラを組み合わせて立体的な顔情報を登録しておき、実際の認証にあたっては「顔の前で端末を少し動かす」ことで立体物かどうかの判定を行い、写真のような解除手段を無効にしてしまうケースもある。あるいは3Dカメラを搭載して、「顔の頂点情報」を基により安全に判定を行う技術もある

＜スマホで採用例が増えてきた虹彩認証＞

虹彩認証では瞳の黒目を覆う外周部分、つまり「虹彩」の「しわ」を読み取ることで判定を行う

「専用のセンサー装置をつける必要がない」「指紋認証よりも偽装が行いにくい」という点でメリットがある

この虹彩の「しわ」は非常に細かく、これを読み取るには一定以上のカメラの解像度が要求される。また暗いところでの読み取りを正確に行うために、赤外線を組み合わせたり、あるいは判定に若干時間をかける手法が用いられる

＜バイオメトリクス認証は本当に信頼に足るものなのか＞

指紋や顔、虹彩といった生体情報を使ったバイオメトリクス認証が増えている背景には、「ID＋パスワード」という従来の認証方式が限界を迎えていることが挙げられる

ID＋パスワードの組み合わせは一度破られてしまえばそれまでで、しかもWebサービスであれば基本的にアクセスする場所を選ばない。一方でFIDO（ファイドゥ）の仕組みでは、生体情報はデバイスごとにアクセス情報が規定され、2要素認証自体は「アクセスするための"もう1つの鍵"」であり決定的なものではない

＜完全に安全な手段などそもそも存在しない＞

現在はまだ安全といわれている虹彩認証も、将来的に「集合写真を写しただけで特定人物の虹彩情報を取得できる」といった可能性もゼロではない。完全に安全な手段などそもそも存在しない

「何億人もの人間が、生体認証をユニークキーにした決済を同時に利用することになれば、システムが破綻する」と米Visaのリスク＆認証製品担当シニアバイスプレジデントのMark Nelsen氏は警告している。バイオメトリクスは、あくまで利便性とセキュリティを高めるための方法の1つという認識だ

当ブログ関連記事
Android6.0の指紋認証センサー・モバイル決済台湾系サプライチェーン
旭硝子、指紋認証用センサを搭載できるカバーガラスの販売を開始
NTTドコモ、「FIDO Aliance」加入－指紋や虹彩でオンライン認証開始
富士通、赤外線による虹彩認証を搭載したスマートフォンの試作機を開発