ユーザーIDとパスワードで認証を行う方法は広く利用されているものの、弱点もある。それを補う技術として、各人で異なる身体的特徴を本人確認に利用する「生体認証」の導入が始まっているが、一筋縄ではいかないようだ。
たとえば先月、こんな記事が掲載された。
生体認証カード、普及率3% 対応ATM少なく敬遠?(2008年8月16日)
静脈の分布など一人ひとり異なる体の特徴で本人確認を行う「生体認証」機能つきのキャッシュカードの普及率が3月末現在で、3.1%にとどまることが、金融庁のまとめでわかった。対応する現金自動出入機(ATM)が限られる不便さなどが、預金者に敬遠されているようだ。
銀行や信用金庫、信用組合などの全預金取り扱い金融機関を対象にアンケートを実施した。
生体認証は、偽造やなりすましなどのカード犯罪を防ぐ「究極の手段」として、04年ごろから導入が始まった。手のひらや指の静脈で認証するカードを導入済みの金融機関は269と、全機関の16.7%にのぼる。信用金庫(17.4%)や信用組合(4.9%)などは低調だが、偽造カード対策に熱心な主要行や地方銀行は、ともに70%を超えるなど導入が進んでいる。
一方で、生体認証カードを使えるATMの台数は、主要行でも全体の58.4%、地銀でも31%に過ぎない。
このため、生体認証カードの発行枚数は1462万6千枚と、総発行枚数に占める割合はわずか3.1%。前年同期の0.6%よりは改善したとはいえ、主要行でも545万1千枚、地銀でも149万7千枚にとどまっている。
生体認証よりも先に導入された、偽造されにくいIC(集積回路)チップ搭載型カードの発行枚数も2628万3千枚と、総発行枚数に占める割合は5.6%どまり。金融庁は普及がなかなか進まない理由について、対応ATMの少なさや「犯罪防止の目的だけで、カードを切り替えるのは面倒と考える預金者も多いのでは」とみている。
ユーザーIDとパスワードによる認証には、二つの意味がある。ひとつは、ユーザーIDによって利用者を特定し、その人物が利用可能なサービス、情報のみを提供すること。もうひとつは、パスワードによってシステムを利用しようとしている人物が「本人」だと確認することだ。
この仕組みは、ユーザーIDとパスワードが第三者に知られてしまうと「本人」の確認が不確実になり、「なりすまし」が簡単になるという弱点がある。
キャッシュカードでも、カード自体が盗難、もしくは偽造され、暗証番号が知られてしまうと、ATM(現金自動出入機)で勝手に現金が引き出されてしまう。
基本的なキャッシュカードやクレジットカードは、カードに張られた磁気テープに情報が記録されている。この情報を読み取る装置は安価に作ることができる上に、別の磁気テープへの記録も容易だ。そのため、一時的にカードを拝借して磁気テープの情報を読み取り、持ち主に返してからカードを偽造する「スキミング」という犯罪が横行していた。特に、本人の署名だけで利用可能なクレジットカードは格好の標的とされた。
カードの偽造防止のために金融業界が取り入れたのが、ICカードである。磁気テープに加え、カードごとに暗号化したデータを記録したICチップを埋め込むことで偽造を困難にした。ただし、カードそのものの盗難には無力である点には注意が必要だ。
キャッシュカードは、暗証番号というもう一つの鍵があるため、スキミングによるカード偽装には対抗できる。しかし、肝心の暗証番号は「0000」から「9999」までの組み合わせしか無い。自分の生年月日や電話番号、住所などの数値を使う人もおり、推測されてしまう可能性がある。
第三者が使えず本人だと証明しやすいパスワードを作れないか、という発想から生まれたのが、各自の身体的な特徴をデータ化して暗証番号代わりとし、使用時に実際に身体を確認する「生体認証」という仕組みである。
生体認証に使う「身体的特徴」は、変化しにくいが他者とは確実に違い、偽装もしにくいことが求められる。さらに、瞬間的に確認可能な方法が求められる。こうした条件を満たすものとして広く利用されているのが、「指紋」「静脈」「虹彩」(眼球にある環状の膜)などの模様だ。パソコンでは「指紋」が、キャッシュカードでは「静脈」が利用されている。
安全性という点ではこれ以上ないのではないかと思われる「生体認証カード」だが、記事にあるように導入は進んでいないようだ。その理由として、記事では「対応するATMが限られる」、「犯罪防止の目的だけでカードを切り替えるのが面倒」の2点が挙げられている。
そもそもキャッシュカードはATMでの利用を前提とするものなので、使えるATMが限られては困る。金融機関によって生体認証が「手のひらの静脈」と「指先の静脈」の2グループに分かれていて相互に互換性がないのも、対応ATMの普及を阻む一因となっている。通常のカードなら問題なく利用できる他社のATMでも、生体認証カードは認証法が違って使えないことがあるのだ。
利用者がカードの切り替えを面倒に感じる理由としては、静脈の情報を登録するために金融機関の窓口に出向く必要があり、手続き当日に使えるようになるとは限らないこと、多くの金融機関で生体認証カードの発行が有料であることなどが考えられる。第三者に「自分の生体情報」を登録することに悪いイメージを持つ人も多い。
大多数の人はカード偽造やなりすましによる現金引き出しの被害に遭ったことがない。単純に生体認証カードがなんなのか知らないという人も多いだろう。そのため、カードを交換するメリットとデメリットのバランスがよく分からず、カード交換に至らないのではないだろうか。
余談だが、人によっては静脈の読み取りエラーが起きやすく現金を引き出すのに時間がかかるようになったとか、家族に頼んで代理でお金をおろしてきてもらえなくなった(そもそもセキュリティ上やるべきではないが)など、生体認証カードに切り替えてから、そのデメリットに不満を感じる人も多いようだ。
一方、企業向け製品を中心に、指紋センサーを搭載したパソコンや携帯電話機も増えてきた。しかし、企業システムで社内ネットワークのログインなどに生体認証を利用する動きは、クレジットカード同様に鈍いようだ。一部の高度な情報セキュリティが求められる部門でのみ使われる、個人が自分のパソコンをロックするのに使うなど、まずは限られた範囲内での利用からスタートしている。
トップダウンで一括導入できるという点ではキャッシュカードより導入しやすそうだが、その反面、キャッシュカードと違って希望する利用者だけに提供するわけではない。「会社が(強制的に)従業員に指紋を登録させる」というのは、内実はどうあれ、字面的に人権侵害の雰囲気が色濃い。一般社員の理解を得るのはかなり難しそうだ。