1. HOME
  2. ブログ
  3. CS四方山話(第20話) サイバーセキュリティと密接な関係がある個人認証の話

CS四方山話(第20話) サイバーセキュリティと密接な関係がある個人認証の話

四方山

今回で、記念すべき第20話になります。記念するべき回ということで、今回は SYNCHRO のお家芸の1つ「個人認証」を取り上げます。前回の予告でもありますし。

個人認証は、サイバーセキュリティとも密接な関係があります。システムのセキュリティ性能が非常に高く強固であったとしても、そのシステムの利用者の個人認証が甘ければ「セキュリティ的に脆弱」ということになります。大事な機密情報を他人でも簡単に参照可能だとすると、セキュリティとしては「アウト」ですから。

個人を示す表現はどのようにして生まれたか?

たとえば、家族、学校などのサークル、会社で、特定の個人をどう表現するでしょうか?

 それは「名前」です。

個人を示す「名前」が確立する以前は、ヒトの塊=「集団」を指し示していたと思われます。

物理的なモノは表現しやすいです。「場所」もその1つですね。たとえば「三角山の人」=三角山の辺りに住んでいる人達、という感じです。

集団間の交流が盛んになり、集団の中での役割分担を把握する必要が出てくると、集団の中で個人を特定しなければならなくなり、「場所+役割」という表現が生まれます。「三角山のボス」「川上の娘」という感じです。そこから、氏名のような名前に発展したのだろうと思います。「三角山 長介」「川上 花」など。

集団が大きくなると、もう一段要素を増やして区別するようになります。場所+屋号(生業)+名前という形です。たとえば「本郷 八百屋 お七」のような表現です。現代で活動する我々も似たようなものです。「SYNCHRO サイバーセキュリティ対策センター 中村」って、名刺に書いてありますから。

個人の識別の歴史、身体測定法と指紋認証

名前は個人を表現する上では便利ですが、それで個人を識別できたとは言えません。IDのみでアクセス可能なシステムはありません。

何故ならば、ヒトは嘘をつきます。誰かが、中村健の所属、職制、氏名を語るかも知れません。そこで、ヒトは嘘をつくという前提で、本当に本人かどうかを確認する方法が必要になります。

最初に登場したのは1880年代(それほど大昔ではありません)のフランスで「身体測定法」という方法です。写真 + 身長、頭回り、中指の長さ、足の大きさなどの組み合わせで個人識別を行う方法で、目的は容疑者の犯罪歴の確認でした。

次に登場するのが「指紋」です。犯罪歴の確認だけでなく、犯罪の証拠としても使えるということで、1890年代に広まりました。

この指紋に最初に着目したのは、築地病院(現・聖路加国際病院)で働いていたスコットランド人、ヘンリー・フォールズさんです。1880年11月『ネイチャー』掲載の論文で「犯罪者の科学的な身元確認につながるかもしれない」と指摘しました。日本人ではありませんが、日本で働いていた方の功績と言われると、それだけでもなんとなく嬉しくなります。ナショナリズムということでしょうか。

個人認証の種類と主な要件とは?

守衛さんや高級マンションのドアマンさんのように、ヒトがヒトを識別ことも個人認証ですが、いろいろなシステムが登場すると、機械がヒトを識別する個人認証システムも必要になってきました。たとえば、会社のデータベースにアクセスする、大事なモノが保管されている部屋に入室するということをシステムが管理しているケースでは、機械がヒトを識別し、正当な利用者であれば許可するという動作を行います。

 現在、多用されている個人認証をみてみましょう。

【パスワード認証】
皆さんも普段使っていると思います。10文字以上にしろ、大文字・記号・数字も混ぜろとか小言を言われながら……。原理としては、本人の記憶に依って識別していることになります。本人しか知らない情報を知っていることが、本人の証であるということです。

 【デバイス認証】
パッと浮かぶモノとしては、ICカードが挙げられるでしょう。パスポートや身分証明書も、本人を特定するデバイスです。金庫や住宅などでも使う普通の物理キーも同じ範疇と考えられます。また、本人ではなく組織の識別ということになりますが、制服や、戦国時代の旗印なども、識別用のデバイスということができるでしょう。

 【生体認証】
本人の身体的特徴を利用するのが生体認証です。前述の「身体測定法」の一種と言えます。現代では、さまざまな生体認証が実用化されています。指紋認証、顔認証、声紋認証、虹彩認証、網膜認証、静脈認証、署名認証、キーストローク認証など。

認証方式に求められる要件は何でしょう? 以下に挙げてみましょう。

  • 情報量が多い。偶然に一致してしまってはいけないということです
  • 複製や偽造が難しい。推定される、盗まれるということも含まれます
  • 低コストで実現しやすい
  • システム化しやすい。機械化しやすい、処理時間が短いということも重要です

ザッとはこんなところでしょう。 3つの認証方式を、この要件に当てはめると次のようになります(あくまでも総論で、筆者の主観による評価ですので、その点、ご容赦ください)。

パスワード認証は、他人にパスワードを推定されたり、盗み見られたりするリスクがあります。また、本人が忘れてしまうということもあります(筆者も、たまにしか使わないアカウントのパスワードが分からなくなり、パスワード再発行を行うことが時々あります (^_^;))。

デバイス認証は、認証用のデバイスを落としたり、紛失したり、盗まれたりというリスクがあります。

個人(本人)との関係性が明確であるという点で、生体認証は他の2つの方式よりも有利です。また、覚える必要がない(=忘れない)し、失くさないという点でも「人に優しい」と言えます。

生体認証いろいろ

前述の通り、生体認証にもさまざまな方式が存在します。
実用化は、セキュリティの厳しい施設などの入退出で進みました、近年ではスマートフォンにも指紋認証や顔認証が適用されていますので、生体認証も身近な技術になってきたと思います。

先程と同じように、各生体認証を要件に当てはめてみます。「使い易さ」という項目を加えてみました(あくまでも総論で、筆者の主観による評価ですので、その点、ご容赦ください)。

精度という観点では「DNA鑑定」が圧倒的に有利ですが、少なくともいまの技術では、照合に30分程度の時間が掛かり、ログイン認証にはそぐわないです。ログインするのに30分待つのは嫌ですから。

「顔認証」は、非接触で特別な操作も不要で利便性が高いです。TOFセンサの利用、複数カメラの利用などで3次元形状も認証に用いるなど精度も向上しています。コロナ禍でマスク着用が日常となったことで少し苦戦している部分もありますが、今後も主流となると思われます。

まとめ

字数的に、今回は、ここまでです。

個人認証に関しては、今回で書き切れていないことがありますので、次回も引き続き「個人認証」のお話をしたいと思います。「個人認証のこれから」にも触れたいと思います。


【四方山話】

山口に2箇所ある SYNCHRO のオフィスの片方がある「セントコア山口」の向かいに「高井商店さん」があります。青果店です。旬の野菜や果物のみを販売するというコンセプトのようで、販売している品目は10数で、品揃えという点では全くダメですが、良質な旬のモノを安価に買えるので、近隣でも人気です。

土曜日に、ここでオクラを買って豆苗と一緒に炒めて美味しく頂きました。オクラの季節もそろそろ終わりですね。


CS四方山話の過去の記事はこちら(合わせてお読みください)


CS四方山話が、JAPANSecuritySummit 2022において、Special Live Sessionとして開催されます。筆者の中村氏と直接会話も可能、ディスカッションも可能なイベントです。CS四方山話の読者の皆さんには是非とも、ご参加いただきたいです。

詳しくはこちら
申込はこちら

このイベントは終了しました。


中村 健 (Ken Nakamura)
株式会社SYNCHRO 取締役 CTO
機械屋だったはずだが、いつの間にかソフト屋になっていた。
以前は計測制御、知識工学が専門分野で、日本版スペースシャトルの
飛行実験に関わったり、アクアラインを掘ったりしていた。
VoIPに関わったことで通信も専門分野に加わり、最近はネットワーク
セキュリティに注力している。
https://www.udc-synchro.co.jp/

サイバーセキュリティ四方山話の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!