認証システムの“決定打”、生体認証【前編】システム基盤統合化の波は生体認証とともに

アクセスセキュリティにおいて、永遠の課題といえるのが本人認証だ。その唯一の実現方法となる生体認証が、システム基盤再構築ブームの中であらためて注目を集めている。生体認証とその裏に隠れる問題を明らかにする。

[坂元淳一，ディー・ディー・エス]

　企業ITシステムでは、PCローカル、ネットワーク、基幹システム、アプリケーションなど、ほとんどのレイヤーで「認証」を必要としている。昨今の企業情報漏えい事件における約80％が社内から発生していることを考えれば、システムを利用する権限を管理し、認証を行うアクセスセキュリティ対策はコーポレートガバナンスのいろはの“い”ともいえる。

　アクセスセキュリティの礎である認証は多くの場合、あらかじめ利用を許可されたユーザーを認証するもので、多くの認証システムでユーザーIDとパスワードによる認証を採用している。しかし、ID／パスワードは単純な文字列の情報であり、セキュリティレベルを維持することは困難だ。ユーザーは利用するシステムごとにID／パスワードを覚え、管理し、認証ごとに入力しなければならない。その際、例えば備忘として付せんにID／パスワードを記入するといったユーザーの不用意な管理が原因となりID／パスワード情報自体が漏えいしてしまうなど、不正アクセスや情報流出を引き起こす問題ともなっている。

　こうしたID／パスワードの脆弱性の問題を打破するために広く採用されているのが、ICカードやトークンなどによるデバイス認証だ。デバイス認証は文字列の認証情報であるID／パスワードとは異なり、物理的にデバイスが認証情報を格納しているため、ユーザーの管理負担は飛躍的に軽減され、同時に認証情報自体が漏えいする可能性も低くなる。さらに、デバイス認証にOTP（One Time Password）やPKI（Public Key Infrastructure）などの強いクレデンシャル（パスワードや暗号鍵などユーザーの本人性を証明する情報）を複合するソリューションは、高いセキュリティレベルを実現する。しかし、デバイスそのものの紛失・貸し借りなどにより、クレデンシャルがデバイスごと本人以外の第三者の手に渡った結果、不正アクセスを許してしまうという脆弱性は否めない。つまり、“なりすまし”を防ぐことはできないのである。

　こうしたアクセスセキュリティにおける共通の大きな課題ともいえるのが本人認証である。

関連ホワイトペーパー

バイオメトリクス認証 | 指紋認証 | アクセス制御 | 情報漏洩