バイオメトリック認証、良いこと、悪いこと、困ること

バイオメトリックを認証に使用する長所と短所

バイオメトリック認証

バイオメトリックはどこにでもありそうです。すなわち指紋、顔認識、音声認識、などです。しかし、バイオメトリックは、セキュリティの高い認証の助けになるでしょうか?すべての技術と同様に、これにも長所と短所があります。このトピックでは、認証のためのバイオメトリックの良い面、悪い面、困った面を検証します。

セキュリティに関するバイオメトリックの良い部分

バイオメトリックが徐々に一般的になってきたことには理由があります。それは偽造が難しいことです。認証は進化しました。それは、たとえば、みなさんご存知のユーザー名とパスワードから始まりました。しかし、簡単に盗まれ、または人々は簡単に騙されて情報を知らせてしまいます。そのため、認証技術はみなさんが持っているもの、すなわち手元の携帯電話、またはカードキーに移って行きました。このことは、みなさんが知っているものと組み合わされて、ユーザーのセキュリティをもっと高くしました。

しかし、セキュリティは十分高くはありませんでした。サイバー犯罪者は、まだ、ユーザーが持っているデバイスを略取したり、偽造できました。現在は、バイオメトリックによって明示されたように、認証の次の段階になっています。そして、真実として、誰かの声、指紋、虹彩などを偽造することは、もっと難しいです。

それに加えて、バイオメトリック認証は、大抵はユーザーにとって簡単です。どこへ行こうと自分自身の一部ですから。指先をキーパッドに当てたり、アイスキャナーを見つめることは難しいことではありません。一部の、顔認識のようなシステムでは、ユーザーが意識的な身振りをすることさえなく認証できます。単に部屋に入るだけで、またはコンピューターの前に座るだけで、ユーザーは、たとえば顔認識によって認証されます。最も都合が良いことは、自分の指紋や眼は、パスワードや物理キーと違って、忘れようがないということです。バイオメトリックなら、パスワードリセット伝票が、ヘルプデスクに積み上げられることはなくなるでしょう。

認証に関するバイオメトリックの悪い部分

それでは、欠点は何でしょう?最初に、バイオメトリックは一般的にセキュリティがより高いですが、フールプルーフではありません。たとえば、スマートフォンの指紋スキャナーは部分一致に依存しており、研究者は、大量のユーザーアカウントへのアクセスをもたらすのために、十分に部分一致する「マスター指紋」の作成が可能であることを突き止めました。

また、研究者は、後に残った質の良い指紋から、偽指紋を作成する可能性も実証しました。他にも、写真や 3D 印刷を使用して虹彩スキャナー、または顔認識システムを騙す方法も見つかっています。時として問題になることは、システムに有効なユーザーの認識の失敗があまりに多く、その限りにおいてシステムのハッキングが可能であることです。すなわち、誰かが違う化粧をしたり、新しい眼鏡をかけたり、または病気や、目覚めたばかりのユーザーの声などです。

ですから、高品質なバイオメトリックソリューションが高コストであることは、驚くことではありません。実際、IT プロフェッショナルの 67% は、バイオメトリック認証を採用しない最大の理由にコストを挙げています。また、隠れたコストもあります。このような調査の 47% が、バイオメトリックへの移行に対応するためにシステムのアップグレードが必要であると報告しています。

このことが、バイオメトリックの採用を検討している会社の多くが、[多要素認証] (/learn/what-is-mfa) (MFA) の、単に 1 つのコンポーネントとして使用することに焦点を合わせている理由です。MFA はバイオメトリック要素と、他のバイオメトリックでない要素を要求することができます。1 つの認証要素がハッキングされても、ユーザーのアカウントは、まだ別の要素によりセキュリティが保たれます。そして、リスクベース認証のようなツールでは、サイバー犯罪の可能性が高い場合はユーザーに厳しくし、低い場合はエントリーの障壁を低くするために、MFA を採用することができます。

バイオメトリックの困った面

バイオメトリックの開発に携わったとすれば、バイオメトリックの多くの形の周辺にある、倫理的な問題に気付くことでしょう。その 1 つはバイアスにかかわることです。顔認識システムは、有色人種、または非シスジェンダーの人達を、正確に認識しない場合があります。そして、バイオメトリック用のラーニングシステムは、基本的に白人、または白人男性の写真に基づくことが多過ぎたため、明らかなバイアスを発生させ、より幅広い人口の人達の認識を困難にする結果となっています。

その上、バイオメトリックデータが使用される方法には不安があります。顔認識、指紋、音声パターンに使用された画像には、誰がアクセスしたでしょう?企業が、そのバイオメトリックデータを他者、たとえば法執行機関、出入国管理機関、または抑圧的な外国政府に売却または提供することは受け入れられますか?

ビジネスとして、バイオメトリックのもう 1 つ困った面は、保存の問題です。バイオメトリックデータが保存される場合、安全に保存される必要があります。それは、もしハッキングされたら取り返しがつかないからです—誰も自分の指紋や虹彩を変えることはできません。すなわち、バイオメトリックデータを紛失すると、残りの人生に永久的なハッキングのリクスを負う結果がもたらされます。

社員、または顧客のバイオメトリックデータを保管することを選択する会社は、重大な財務的および倫理的な責任を負います。このことは、デバイスでの保存、すなわちバイオメトリックデータの、ユーザーを認証するデバイス、たとえばユーザーのスマートフォンやコンピューターでの保存を検討する 1 つの理由です。このことは、ユーザーがデータを管理することを可能にし、同時にローカルデバイスへの配置に限定して、犯罪者が 1 つの違反を通して大量のバイオメトリックデータへのアクセスを得る可能性を低減します。

バイオメトリックに関するディベートには多くの論点がありますが、1 つのこと、すなわちテクノロジーが普及している、ということは確実です。バイオメトリックの悪い面や困った面にもかかわらず、良い面がそれらを上回り、引き続き企業が認証用にバイオメトリックを採用すると予測するには十分です。

関連リソース:

パスワードを信頼することは災害のレシピであることの 5 つの理由

パスワードだけでは、企業データの保護には十分ではありません。それには 5 つの理由があります。

詳しい情報

MFA は通常のサイバー攻撃を防ぐために、どのように役に立ちますか?

多要素認証 (MFA) が、最も一般的で成功例が多いタイプのいくつかのサイバー攻撃を防止するために、どのように役に立つのか見てみましょう。

学習

SSO と MFA が組み合わされて、アクセスのセキュリティを高め、テクノロジー産業のパスワード問題に取り組みます。

SSO と MFA の組み合わせが、どのように、テクノロジー会社の企業データや知的財産を保護するための鍵となっているかご覧ください。

文書をダウンロードしてください。

ゲームオブスローンがサイバーセキュリティに関して教えてくれる 3 つの教訓

ナイトウォッチの防御と、実世界のサイバーセキュリティチームの防御の間に類似点はあるのでしょうか?判定してください。

ブログをお読みください。