2018年06月01日 08時00分 公開
特集/連載

Computer Weekly製品ガイドモバイル端末を守り、モバイル端末が守るスマートセキュリティ

スマートフォンメーカーが生体認証などの新機能を提供している。企業が利用できる限り最善のモバイルセキュリティ対策を実装するためには、何をすればいいのか。

[Zach Emmanuel,Computer Weekly]

 スマートフォンは瞬く間に最も手早く、最も便利に買い物ができる手段になった。スマートフォンには電子ウォレットが生体認証と併せて組み込まれ、買い物のセキュリティを助けている。調査会社eMarketerの予想では、モバイルを使った購入が電子商取引販売に占める割合は2017年の43%から、2021年までに52%に増える見通しだ。

Computer Weekly製品導入ガイド無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly製品導入ガイド」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。


 大手小売業者の多くは、Google Pay(旧Android Pay)とApple Payに対応したモバイル端末向けのアプリを提供している。こうしたネイティブ決済手段では、ユーザーが自分のカードの電子版をスマートフォンに保持できる。このシステムを利用すれば、内蔵のNFC技術を使って実店舗で決済を承認できる。

 Google Payは実際のカード情報を共有するのではなく、そのカードの代理となる仮想口座番号を使うことによってユーザーを保護している。さらに、店舗によってはGoogle Payで決済できる金額を30ポンドまでと定めている。この上限がない店舗では、30ポンドを超す買い物をする場合、ユーザーが生体認証やパスコードを使って認証しなければならない。

 同様にApple Payも、店頭ではユーザーの実際のカード情報にはアクセスせず、「デバイスアカウント番号」と、買い物ごとに異なる固有のセキュリティコードを利用する。ユーザーは全ての決済で生体認証かパスコードによる認証を行う必要がある。30ポンドの上限はない。

 こうした対策は、許可なく決済に利用されるリスクを低減する。実際のところ、セキュリティを脅かす最大のリスクは端末の持ち主だとQuocircaの主席アナリスト、ロブ・バムフォート氏は言う。「そうしたモバイル決済システムやOyster Card(ロンドンの交通機関用ICカード)のようなNFCは、われわれが一般的に直面する程度のリスクに対する守りとしては十分だ。消費者をさらに安心させるため、発行機関は一般的に、システムが破られたり機能しなかったりした場合に備えた保護対策を講じている。この技術そのものは安全性が高いかもしれないが、全体としての決済プロセスを考える必要があり、時として、人が弱点になることもある」

セキュリティ強化

 AppleやSamsung Electronicsが最新版の主力スマートフォンで重視しているのがまさにこの点だ。SamsungとAppleは、モバイル市場に占めるシェアが合わせて約33%に上る筆頭メーカーとして、それぞれのユーザーのために生体認証セキュリティを推進してきた。ユーザーがアプリを使う際の安全をできる限り保証するため、そうしたセキュリティ強化措置を活用するアプリ開発者も増えている。

 Samsungは主力モデルの「Samsung Galaxy S8」「同S8+」で、指紋認証と虹彩スキャンのオプションに加えて、顔認証機能を取り入れた。

 Appleの「iPhone X」は、同社初となる顔認証によるロック解除機構を「Face ID」として提供している。発表時の同社の説明によると、顔面の3万点をマッピングしていることから、例えばマスクを使ったとしても、他人が認証を突破することはできない(訳注)。Face IDがユーザー認証を誤る確率は、指紋認証が誤認証する確率の20分の1であるとAppleは主張している。

訳注:150ドルで作ったマスクでFace IDが突破された件については「Computer Weekly日本語版 1月10日号」掲載の「iPhone Xの顔認証『Face ID』を150ドルで突破されたAppleの反応は?」を参照。

 どの生体認証技術をアプリに組み込むかの判断は、極めて主観的だ。「これはある程度主観的だが、最も安全なのは指紋と虹彩、続いて顔と目の血管だ。これは、それぞれの累積的な特性、すなわち識別性、パフォーマンス、攻撃に対する耐性の組み合わせに基づく」。Gartnerの調査ディレクター、ラウル・ラビノビッチ氏はそう話す。「いずれの場合も、検知のライブ性が鍵を握る。従って、全ての実装は平等ではない。センサーの品質、生体テンプレートの保護、アルゴリズムの照合はさまざまだ。従って、ここでも多くは実装にかかっている」

銀行アプリの生体認証

 銀行もアプリケーションに生体認証を取り入れ始めている。例えばSantanderは2017年2月、iPhoneユーザーが同社のSmartBankアプリを使って音声で決済できるようにする音声操作バンキングプロジェクトが、第2段階に入ったと発表した。第1段階では、カード使用履歴について問い合わせることが可能になっていた。次いでTSB Bankは2017年11月、同社のアプリでFace ID認証に対応すると発表した。同社はまた、Samsungのユーザーが虹彩スキャン機能を使って自分の銀行口座にアクセスできるようにしており、同社のCIO(最高情報責任者)カルロス・アバルカ氏は、これを「最も安全な認証形態」と評している。

 デンマークのデビットカードDankortは2017年6月に、生体認証に関する同様の計画を発表し、モバイルウォレットを介した指紋認証に対応すると表明した。

 こうした形態のセキュリティ対策に対する顧客の需要増大を受け、今後はパスワードの一般性が薄れるだろうと予想するのは、Gartnerの調査ディレクター、ロベータ・コッツァ氏。「信頼性が低いかどうかに関係なく、われわれは生体を使った認証手段へと移行するだろう。なぜならユーザーがそれを期待するからだ。パスワードを覚えていなければならないのは、単純に便利ではないという理由で、容認されなくなる」

 Gartnerは個人端末に関する2018年の報告書の中で、生体認証と機械学習の台頭により、パスワードがデジタル認証に占める割合は2022年末までにわずか10%になると予測した。

 だが、生体認証にメリットはあるものの、リスクも存在するとQuocircaのバムフォース氏は言う。

ITmedia マーケティング新着記事

news135.jpg

ログリーとビルコム、B2B企業向けコンテンツマーケティング支援事業を行う新会社設立へ
ログリーとビルコムは、共同出資により、新会社を設立することで合意した

news010.jpg

「Amazon Echo Spot」を差し上げます
メールマガジン「ITmedia マーケティング通信」を新規にご購読いただいた方の中から抽選...