ポスト・パスワードの生体認証


平成27年3月17日、マイクロソフトはWindows10に生体認証(バイオメトリクス)を搭載すると発表しました。数種の生体情報に対応します。指紋認証には既存のセンサーを使いますが、顔や虹彩の認証には赤外線カメラを使って写真や変装などによるなりすましを防ぐそうです。インテルの3Dカメラを搭載するとのことです。MSだけでなく、アップルなども生体認証を発表していますし、日本でも日立や富士通などが製品発表をしています。

昨年12月にFIDO Allianceが、オンライン認証の規格標準を発表しました。FIDOは世界150社以上の企業(モバイルデバイス、認証技術、OS、銀行、医療など)によるコンソーシアムで、オープンな規格標準を作ることが目的です。FIDOは、Fast IDentity Onlineの頭文字をとっています。

文字記号による暗証番号だけでは、セキュリティを守れないことは明白です。そこで、様々な多重化が施されてきました。その結果、利便性操作性が大きく損なわれ、サービス提供側が防御を厳しくするほど、利用者は単純な記号認証に逃げてしまいます。わが国のネットバンキングにおける本人確認での動きを見れば納得できるでしょう。これは万国共通です。そこで、様々な認証技術が開発されています。各社、自社の技術こそ究極のセキュリティだと主張しますが、どれも普及しない。技術とは難しいもので、技術的に優れていても普及しなければ、意味がない。つまり、最終利用者に受け入れてもらえることと、現行から少ない負担で自然に移行できないと駄目だということです。

わが国では、多種多様なセキュリティ対策や認証技術に振り回されるくらいなら、顧客の被害を補償してしまった方が、簡便でコストも安いという風潮がありますが、一体、どこまで被害が拡大すれば、銀行の経営陣はセキュリティに投資するのか?

最近、金融庁がさりげなく言うソリューションが気になります。キャッシュカード等をICカード化することと生体認証の普及です。この動きには、海外での急速なICカード化・生体認証化があります。海外カードとの相互乗り入れが、東京五輪をきっかけに、国会議員や行政が言うようになりました。ガチガチの国内標準で固められた金融関連ビジネス・プロトコルにも批判がありますが、何よりも世界水準のセキュリティ・レベルに合わせておかないと危険極まりない。何よりも海外で進んでいるクロスボーダー決済連携に参画させてもらえないという危機感もあります。

クレジット・カードは、国内でもEMV化が進められています。EMVは、ISO/IEC7816準拠の国際規格で、わが国銀行協会も採用しています。しかし、銀行のキャッシュカードは、EMV化が進みません。クレジットのように2年とかの有効期限がありません。ですから、顧客の協力抜きには更新できません。米銀等はクレジットが銀行の本業として認められているのでキャッシュカードとクレジットは一体です。ですからカード更新は銀行主導で可能です。日本では、国が更新を主導しないと実現性が上がらないというのが実態です。数年前、偽造カード犯罪が社会問題化した時に、銀行は生体認証のICカード化を進めようとしました。しかし、生体情報登録率は、14%で地域金融機関に至っては地銀こそ9%ですが、他の業態は3%未満で止まっています。こうしたわが国の特殊事情が、金融のグローバル化対応で大きな障壁になっています。

話を戻してオンライン認証のFIDOです。2種類の方式があります。第一は、UAFです。デバイスに生体情報を登録しておき、ローカル認証します。その結果のみをサーバーに送ります。認証情報はインターネットを通りませんから、盗まれません。しかし、これだけでは、操作者とサーバーを紐づけるには弱いので、デバイスを先に登録しておきます。つまり、デバイスがカード替わりです。結果的に2経路多重認証が実現できます。OTPなどより数段、操作は単純で自然です。

もう一つの方式はU2Fです。USBなど操作が簡単なデバイスで公開鍵と秘密鍵を生成して、公開鍵は事前にサーバーへ登録しておきます。使用時に、デバイスから秘密鍵を送ってサーバー側の公開鍵と照合します。つまり、公開鍵を登録してないサーバーにはアクセスできないので、フィッシングやなりすましを防げます。U2Fは、UAF対応のデバイスが普及するまでのインテリム・ソリューションという位置づけのようです。

こうした流れの中で生体認証デバイスが相次いで発表されています。当然、対応を進める金融機関が増えることでしょう。やがては、スマホのNFCと生体認証で、ATMを利用したり、電子チケットが普及します。

金融庁も日銀も、「わが国金融機関は、インターネットを閉鎖的に使う事でセキュリティを確保してきたが、それでは金融サービス革新の阻害要因となる。ネットワークのオープン化が不可欠であるが、その前提はセキュリティの充実だ。」と考えています。まさに、その通りです。この方向に向かって、金融界というより、個々の金融機関はどのようなロードマップで、デジタル・チャネルのオープン化とセキュリティ強化を進めていくのでしょう?経験と勘と度胸で進めるには、少々リスクがあり過ぎです。一部の銀行のように先走っても、他行の多くが別の道を進めば、取り残されます。標準の重要性が、ここでも浮き上がりますが、標準の対象をどこにおくかが問題となりそうです。全金融機関なのか、業態別なのか、主要技術別なのか。それとも、複数を容認するコンソーシアム方式か。単純にディファクト任せにするか。自社の技術力だけでは、切り抜けられないややこしい問題です。

                               (平成27年3月20日 島田 直貴)