ITpro Special
週間WEEKLY ITpro Special ITpro

情報漏えい対策セミナー REVIEW 富士通

サイバーセキュリティの強化は喫緊の課題だ。個人情報や知的財産を狙う攻撃手法は巧妙化する一方で、マイナンバー制度の施行や不正競争防止法の改正などによって個人情報や知財の漏えいを防ぐ必要に迫られている。こうした中でサイバーセキュリティの戦略はどうすべきか。この分野の第一人者をはじめ、IT企業の専門家がそれぞれの立場で語った。

  • 総論 個人情報、知財を守る処方箋を探る
  • パスワード認証の限界時代は生体認証へ
富士通

パスワード認証の限界
時代は生体認証へ

企業が守るべき情報がますます増加し、企業の内外に潜む情報漏えいリスクも高まっている中で、セキュリティ対策の基本である認証セキュリティ方式を見直す動きが活発化している。パスワード認証をはじめとする従来型の認証方式の限界が叫ばれる中、富士通は「手のひら静脈認証」で企業が抱える認証セキュリティの課題を解決できると提案する。

限界が見えてきたパスワード認証
山嶋 雅樹 氏

富士通株式会社
ユビキタスビジネス戦略
本部
ソリューションビジネス
企画統括部
マネージャー
山嶋 雅樹

 企業システムのオンライン化、情報コンテンツのデジタル化が進み、個人情報や機密情報など、企業が守るべき情報がますます増加する状況の中、セキュリティ対策としてシステムの操作者を特定する「本人認証」とその「証跡管理」は特に重要である。しかし、確実に操作者を特定できないパスワード認証などの従来型の認証方式では、「なりすまし」や「不正利用」の潜在的リスクは解決されない。「現在広く普及しているパスワードによる本人認証は、既に限界といえるのではないでしょうか」と富士通の山嶋雅樹氏は指摘する。背景にあるのは、内外に潜む潜在的なセキュリティ脅威だ。

 

現在では多くのシステムでパスワードの設定や管理、入力が要求され、パスワードの定期変更や複雑化といった運用ポリシーも厳格化される一方である。しかし、それは利用者にとって大きな負担を強いることになり、結果として公私で共通のパスワードを“使い回す”という事態につながり、企業システムのセキュリティ脅威の大きな要因の一つになっている。

「私たちの調査では、約半数の社員が会社とプライベートでパスワードを使い回しています」と山嶋氏は驚くべき実態を明かす。プライベートで利用しているWebサービスなどのアカウント情報が流出すると、それを基に会社の業務で利用するクラウドシステムなどが不正アクセスされるといった「リスト攻撃」などのリスクにさらされることになる。

一方で見逃せない情報漏えいリスクとして従業員や協力会社による「内部不正」が挙げられる。パスワード認証では実際にシステムを操作した人物を特定できないため、「きっとばれないだろう」といった出来心などによる内部犯行を誘発してしまう。また、そもそも部門内で共有ID/パスワードを使っているケースもあり、認証方式としてセキュリティ上の課題が残る。カード認証などの「持ち物」を用いる認証方式でも同様に、不携行時に貸し借りが行われたり、盗難や紛失、偽造されたりするリスクが残る。

「パスワードやカードでは、本人が操作したと確実に特定できないため、情報漏えいインシデントの発生時に追及が難しく、原因特定に時間がかかることにつながります。結果的に被害を拡大させてしまうことも想定されます」と山嶋氏は指摘する。

こうした中で、注目されているのが生体認証である。本人しか持ち得ない体の情報を使って認証する生体認証であれば、確実な本人認証によりこれらの課題を解決できる。

生体認証の中でも注目される手のひら静脈認証の強み

生体認証の方式はいくつかあるが、現在多く使われているのは「指紋」と「静脈」の二つだ。中でも特に山嶋氏が推奨するのは「手のひら静脈認証」である。

 「手のひらの静脈は体内情報ですから、盗難、紛失はなく、偽造は困難です。また、手のひらの静脈は、血管が太く、本数が多いため情報量が多く、高い認証精度を実現できるのも特長です。しかも、“手をかざす”という自然な動作で、センサーに触れる必要がなく衛生的です」(山嶋氏)

手のひら静脈認証の具体的な仕組みはこうだ。センサーから数センチ程度離して手をかざすと、近赤外線照射によって、静脈の画像が撮影される。それを画像処理して、特徴点を抽出したパターンを暗号化して、テンプレートに格納しておく。次回からはセンサーが読み取ったパターンと格納されたパターンを照合して本人認証を行う。手をかざすだけで瞬時に認証が完了し、システムにログインできる。

「従来の体表情報を使った認証方式では、湿気や乾燥といった外部環境の影響を受けてしまい認証精度が落ちる、偽造ができてしまう、また、登録できない人が一定数いる、といった課題がありました。しかし、手のひら静脈認証であれば、偽造も困難ですし、太い血管なので寒さなどの影響もほとんど受けませんし、ほぼ100%の人が利用できます」と山嶋氏は説明する。

こうした手のひら静脈認証の特長を生かし、既に公的機関や金融機関で数多くの導入実績がある。一例としては、全国の自治体で利用される住基ネットの操作者端末での本人認証、また、金融機関では渉外職員用に手のひら静脈センサーを内蔵したタブレットが導入された。「モバイル端末を活用するためには、紛失リスクを考慮しなければなりません。そこでは手のひら静脈認証が威力を発揮します」と山嶋氏は語る。

[画像のクリックで拡大表示]
既存システムを改修せずに生体認証を導入できる

富士通は、生体認証ソリューションとして、手のひら静脈センサーを内蔵したPCやタブレット、認証情報をID/パスワード情報とひも付けて一括管理する専用サーバー、認証を受けて複数の業務システムにシングルサインオンを実現する専用ソフトを、ソリューションとして提供している。大きな特長は、既存の業務システムを改修する必要がないため、低コストかつスピーディーに導入できることだ。

 

さらに4月からは仮想環境上で動作するアプリケーションにも生体認証でログインできるようになった。これにより、仮想化を組み合わせたセキュリティの強化と高い利便性をより高いレベルで実現させることができる。「仮想化によりセキュリティを強化しても、仮想環境上の認証セキュリティが大きな課題でした。この課題を解決することで、ますます増える仮想化ニーズに対応でき、セキュリティとユーザビリティーを両立したシステムが実現します」と山嶋氏。

手のひら静脈による生体認証は、セキュリティを高めながら、システムの使い勝手の向上にも貢献する。同社はUSB外付け静脈センサーや、静脈センサー内蔵マウス/キーボードも用意しており、導入済みのPCはそのままで段階的に導入することもできる。

[画像のクリックで拡大表示]
お問い合わせ

富士通株式会社
URL:http://www.fmworld.net/biz/security_lab/
TEL:0120-996-186(富士通購入相談窓口:受付時間 平日9 時~19時)