パソコンのログインも指静脈認証で利便性アップ（FANCL)

中西氏によると、生体認証の精度を表示する指標には、本人拒否率、他人受入率、登録未対応率の３種類がある。この中で登録未対応率とは、生体情報が登録できない（例えば人間の静脈と認識されないなど）人の割合、例えばで、従来の指紋認証ではこの数値が約５%であった。つまり登録操作した100人中５人が登録できないということになり、これではATMなど現金を扱う用途では混乱が生じる。しかし指紋認証でも改良型のタイプでは未対応率が0%近くにまで向上したことが報告されている。最新の指静脈認証では登録未対応率が0.03%未満となり、この精度向上が生体認証に対する一般の評価を変えたことは事実だ。
登録未対応率0.03%未満という数値はあくまでも理論値だが、日立製作所における昨年の実地テストによると、500人がそれぞれ6本の指、つまり3000本の指のうち登録や認証ができない指は皆無であったという結果が報告されている。「分母が小さい実地テストだけに大々的にアピールするつもりはありませんが、実使用という面で大きな自信になったことは確かです。0.03%未満という理論値についても、今後さらにゼロに近づけることができます」ということで、指静脈認証が今後更に進化することは間違いない。同じく非接触型である虹彩認証も大きな可能性を持ってはいるが、虹彩認証には眼鏡が邪魔になることに加えて、距離がやや離れることから装置そのものが大きく高価になるなどコスト面での課題もあり、ここしばらくは静脈認証が生体認証の牽引役を務めることになる。

最近、生体認証が大きくクローズアップされる理由について中西氏は「高セキュリティを実現しながら利便性を向上する」ところにあると述べている。「当社の指静脈認証がATMに限らず企業でパソコンを使う際の個人認証などで普及しつつある最大の理由は利便性にあります。パスワードも確かに便利ですが、長いパスワードは忘れやすく、覚えやすいパスワードは盗まれやすいという本質に加えて、最近のネット社会では覚えるべきパスワードが増える一方という現実があります。それぞれの目的に応じたパスワードを覚えることや、これを入力する手間を考えると、同じパスワードを使用するとか安易な方向に流れがちであることは皆さんご存知の通りです。この状態を脱却して新たなIT社会を目指すためにも、生体認証は大きな意味を持っています。高セキュリティと利便性を同時に実現するという意味で、ネット社会が進化すればするほど、生体認証の役割も大きくなると考えています」

ニーモニックセキュリティ社長、國米仁氏

指紋や静脈を始めとする生体認証が大きな可能性を持ち、今後も更に技術が進化することは理解できる。しかし、理論的な優秀性と実際の運用にズレが生じることはシステムの世界では大いにあり得ることで、実際の運用でどのようなセキュリティ効果を発揮できるかが、さまざまな個人認証技術の最大のポイントとなる。 現時点で精度が高いとされる静脈認証の登録未対応比率が0.03%、つまり1万人中3人がはねられるという数字が高いか低いかはともかくとして、実際の運用ではこの登録未対応の３人をどのように取り扱うのかということが大きな問題となる。これはあくまでも生体認証の運用に関する問題だが、この運用次第では高セキュリティがたちまち低セキュリティに落ちるので注意が必要だ。いくら高精度な生体認証であっても、その運用を誤れば従来のセキュリティレベルを落とすことになる。

その一つの例が生体認証とパスワード認証の併用である。静脈認証がいかに優秀でも、システムである限り100%はあり得ないので、残りわずかのイレギュラー事例をどのように処理するかは生体認証が常に抱える大きな問題だ。企業内の入退室ならまだしも、銀行のATMなどでは、正当な顧客でありながら生体認証ではねられる人は楽しいはずがないので、この顧客をすぐにリカバーする必要が生じる。
そのような場合には、パスワードによる個人認証でカバーすることが一般的に行われている。要するに、生体認証でエラーが出た場合を想定してパスワード認証を併用するということだが、「ここにはセキュリティ上、大きな落とし穴があります」というのが、新たな個人認証技術であるニーモニック認証を開発した國米仁氏（ニーモニックセキュリティ社長）の指摘だ。

２種類の個人認証を共存させれば、生体認証でダメならパスワードがあり、またその逆も可能ということで、表面上はそれぞれの認証手法の弱点を補完し合うように見えるが、セキュリティ強度の面では弱点要素をプラスする結果になりかねない。いくら生体認証が高度に進化しても、わずかに残るエラーの可能性にどのように対処するかは運用の問題であると同時に、究極の個人認証と言われる生体認証が抱える永遠の課題といえる。

個人認証には大きく分けて、IDとパスワードによる記憶認証、ICカードや各種メモリメディアを利用した物理認証、さらに身体的特徴を利用する生体認証の３種類がある。手軽に利用できる物理認証については、盗難や置き忘れの可能性があることから、多くの企業では社員が首からカードをぶら下げているが、モノだから紛失はあり得るし貸し借りも可能だ。これに対してパスワードは人間の頭の中にあるのでモノとしての盗難はあり得ない。しかし忘れた時の用心として紙に書いたり、本人の意思で他人に伝えることは可能だ。これに対して生体認証は個人の身体の一部を利用することから、究極の認証手法だと信じられてきた。

ニーモニック認証の画面例（ウイルコムのPHS端末「W-ZERO3es」

しかしよく考えると、強固なパスワードであれば本人の意思がない限り盗用される可能性は極めて低いのだ。生体認証ではあくまで個体としての人体を識別するので、この人間に睡眠薬を飲ませるなど意識のない状態にすれば本人の意思とは関係なく個人の認証が可能となる。つまり生体認証とは、本人の意思とは関係なく個人認証が可能な手法ということもでき、良くも悪くもこれが生体認証の本質といえる。より正確には「権利義務の主体としての個人」を認証するには生体認証は適さないということだ。本人の意思がないと個人認証ができないという意味では、頭の中の記憶に頼るパスワード認証が最適の個人認証であり、生体認証では不可能な要素を持ち合わせているといえる。
しかし堅固なパスワードは覚えることは難しく、忘れやすい。パスワードを忘れた時のデメリットを考慮するととても実用にはならない、という従来の常識を覆した記憶型認証として登場したのが「ニーモニック認証」だ。まだマイナーな存在ながら、究極の記憶型個人認証として注目を集めつつある認証方式で、パソコンだけでなく最新型携帯電話などでも使われ始めている。
最近の企業ユースでは、ウインドウズモバイルをOSとして採用した携帯電話端末（NTTドコモの「hTcZ」やウィルコムの「W-ZERO3」など）を営業などで外出する際活用するケースが増えているが、このようなビジネス用のPDAを兼ねた携帯電話端末ではビジネス情報が蓄積されることから、紛失や盗難時の対応が大きな課題となる。その点、これらの端末では、ニーモニック認証ソフトを搭載することはシステムインテグレーターなどで簡単にできるので、使用する際の個人認証に、パスワードの代わりにニーモニック認証が使われ始めている。これを搭載した携帯電話では、電源ON時やロック状態解除時などでニーモニックによる利用者認証が行われ、認証を通過するまでは電話を受けること以外には何の操作もできなくなり、端末紛失時の情報漏えいを防ぐという仕組みだ。

携帯電話端末でも活用されはじめたニーモニック認証（画像はNTTドコモhTcZ）

このニーモニック認証の原理は、画面に表示された複数の写真の中から個人が覚えている写真を指示することによって強固なパスワードの代わりを果たすというものだ。例えば画面を縦横４コマのマス目に区切り、計16枚の小さな画像で構成する。この16枚の写真の中に、父母や兄弟あるいはペットなど自分しかわからない写真を含ませておく。そしてこの16枚の画像から自分の知る画像だけをクリックすれば個人認証が行えるという仕組みだ。
画像の登録処理については、各自で簡単に登録できるツールが用意されているので問題ないとしても、では登録した画像を忘れた場合はどうするのか。この疑問について國米氏は「自分の母の顔や恩師の顔、可愛がっていたペットの顔など、人は簡単に忘れるものではありません。個人にとって忘れることのできない顔やモノというのは必ずあります。新たに覚えることは困難でも、記憶となって忘れない画像を思い出すことなら簡単です」と説明している。つまり、数十年経っても良く覚えている写真は今後も忘れる可能性はまずない、という人の記憶の本質を利用したもので「新たに覚えるのではなく、すでに覚えているものを利用する」ことが最大のポイントだ。

表示する全体の画像の数やクリックする画像の数を増やすことによって、ニーモニック認証におけるセキュリティ強度はいくらでも高めることができる。例えば16コマの中から年代の古い順に４人の恩師の顔を順にクリックする場合、つまり16個の中から４個の順列を取り出すとその組み合わせは、16の４乗＝65,536通りとなり、この数字だけでも４桁の数字によるパスワードの６倍以上だし、どこにでもあるような顔の記憶など他人から類推することは不可能に近い。画像の数を縦横8枚の計64枚にしてここから４枚順に取り出すとすると、64の4乗＝16,777,216通りとなる。この強度を確保できるパスワードを記憶することなどできるはずもなく、強固でかつ忘れることのない記憶認証としてニーモニック認証への関心は高まっている。
このように現時点では究極の記憶型認証とも言えるニーモニック認証だが、その認証には何枚かの画像をクリックする操作が必要で、認証装置に指や手をかざすだけの生体認証ほどの利便性はない。しかし記憶型認証であるだけに特別の認証装置が不要なことから、携帯電話などモバイル端末では使いやすい。
すでに述べたように、生体認証が話題を集めることにはそれなりの理由があるが、生体認証にも得手不得手があり、記憶型認証にもまた得手不得手がある。今や私達の生活に深く関わる個人認証について知ることは、ネット社会を安全に生きるための重要なポイントとなっている。