私たちが日々最も多く利用している電子機器であるスマートフォンに搭載され、意識することなく日々利用している「高度な認証テクノロジー」、それが生体認証です。 以下では、生体認証とは何かについて改めて見ていきたいと思います。

認証方法について理解する

　まず、生体認証とは何でしょうか。まず生体とは、生きている人間の身体を意味します。 続いて認証とは、本人であることを確認する行為を指しますので、「身体を使って本人確認を行う行為」となります。

なお、生体認証を含む「認証」には大まかに3通りの認証方法があります。

知識情報を用いた認証

本人が記憶している情報を用いた認証で、手段としては「パスワード」や、パスワードを長文化した「パスフレーズ」などがある。

所持情報を用いた認証

本人が所持しているデバイスに表示された情報、また本人に送付された情報を用いた認証で、 手段としては「スマホアプリに表示される数列を入力する認証 (Authenticator認証)」「ワンタイムパスワード認証」などがある。

生体情報を用いた認証

身体の一部を利用した認証で、手段としては「指紋認証」「顔認証」などがある。

この中で最も古くから普及していたのは、知識情報であるパスワードを利用した認証です。 パスワードはキーボードを用いて簡単に入力でき、入力に際して間違いが少なく、手軽であったためです。

現在でも、パスワードは広く普及していますが、その反面「パスワードが多すぎて覚えられない」 「覚えられないがゆえに同じパスワードを使い回したり、脆弱なパスワードを設定したりしてしまう」ことで、 パスワードを解析され不正アクセスに利用されることが急増しています。このため、多くのIT企業がパスワード管理の課題を抱えています。

次に、インターネットの普及とともに普及してきたのが所持情報による認証です。 特に、オンラインバンキングでの利用における「6桁程度の数列を表示するワンタイムパスワードを表示するドングル」が広く用いられました。 パスワード認証だけでは、パスワードが流出した場合に残高をすべて盗まれてしまう危険があるため、パスワードと併用する形でこのドングルが用いられました。

ドングル型の弱点は、「ドングルという物理デバイスを持ち歩かないといけない」という点です。 このため、最近では物理デバイスを利用しない認証、例えば「登録メールアドレスにワンタイムパスワードを送る」 「スマートフォンのAuthenticatorアプリでワンタイムパスワードを表示する」というやり方が普及しています。 いずれも、パスワードと併用して用いられ、単独で用いられることはほとんどありません。

最後に生体認証ですが、生体認証の普及にはこれまで大きな壁がありました。

生体認証の壁を破ったテクノロジーの進歩

　生体認証の導入には、「他人許容率」「本人拒否率」、そして「導入時のデバイスコスト」という三つの観点が必要になります。

まず、他人許容率とは「登録した本人以外の生体情報を誤って認証してしまう確率」で、低ければ低いほどよい数値となります。 そして、本人拒否率とは「登録した本人を認証で誤って拒否してしまう確率」で、こちらも低ければ低いほどよい数値となります。

キーボードで正確に入力することが可能なパスワードと異なり、生体を認証する際には生体を読み取るセンサー並び、読取に用いるソフトウエアが優れていることが重要です。 例えば、指紋認証であれば、どれだけ精緻に本人の指紋情報を読み取り、記憶できるかが生命線となります。

生体認証という考え自体は新しいものではありませんが、特に高度な読取を可能にし、他人許容率ならび本人拒否率が低い物理デバイスとしてのセンサーが高額かつ大型であったため、 ATMや社外機密を扱う部屋への入退室といった限られた場所でしか利用されることはありませんでした。

その後、技術の進歩によりセンサーが安価になり、そして小型化されたことで、スマートフォンへの搭載が可能となりました。 スマートフォンに搭載され、出荷台数が急増したこともあり、単価はさらに下がるというスケールメリットをも享受できるようになりました。

スマートフォンで生体認証を行う「当たり前の現在」が実現するには、テクノロジーの進歩、そして価格とサイズの壁という、 いくつもの困難を乗り越える必要があったのです。 

生体認証の種類

　次に、生体認証にはどのような種類があるのでしょうか。主だった生体認証について以下で見ていきましょう。

指紋認証

多くのスマートフォンに搭載されていることもあり、世界で最も普及している認証です。 指先の指紋情報を用いた認証で、センサーが小型の指先サイズで済むこと、他人許容率ならび本人拒否率が低いため、多くのスマートフォンに搭載されています。 スマートフォン以外でも、パソコン自体に指紋センサーが内蔵されているものや、パソコンに後から外付けするものがあります。

顔認証

iPhone Xでさらに身近になった認証です。 カメラを利用して、人間の顔を認識、記録して、これを認証に利用する方法です。 スマートフォンのカメラのように、カメラモジュールが超小型になり、かつ高度な認識が可能になったことが普及の決め手となっています。 なお、2017年からは日本国籍者の出入国時に顔認証が利用できるようになったことも有名です。 顔認証は、カメラに顔を向けるだけで認証ができる、物理デバイスに生体を接触させる必要がないという利便性がある反面、 うり二つの双子であれば誤って認識されてしまう「他人許容率」の面で課題があるとされています。

手のひら静脈認証

ATMへの導入で有名になった認証方法です。 手のひらの静脈パターンを専用のセンサーで読み取り、これを認証として利用します。 他人許容率ならび本人拒否率は極めて低いものの、手のひらという大きなサイズを認証として利用する必要があるため、センサーが大型になること、 大型がゆえに一般消費者が利用するデバイスには搭載しにくいことが弱点となります。

指静脈認証

手のひらではなく、指先の静脈パターンを専用のセンサーで読み取り、認証として利用する方法です。 手のひらに比べるとセンサーが小型で済むというメリットがありますが、指紋認証に比べるとセンサーが高額であるため、幅広い普及には至っていません。

虹彩認証

人間の目の「黒目」の部分の色彩（虹彩 [こうさい]）を認証に利用する方法です。 顔認証と同じくカメラを利用した認証ですが、光による反射を防ぐため赤外線カメラが必要となります。 虹彩は、指紋のように怪我や老化により変化しないこと、また眼球の奥にあり物理的に保護されていることなどから、今後の利用が期待されています。

生体認証規格であるFIDO 2.0

　生体認証デバイスを開発するメーカーと、生体認証を利用するサービス事業者は常に同じわけではありません。 例えば、「指紋認証を利用して決済を許可する」場合、生体認証デバイスはスマートフォンですが、利用するのは金融機関やネット販売事業者となります。 このため、「生体認証デバイスが開発したメーカーの独自規格」になっていると、サービス事業者は「メーカー独自規格で認証された生体情報を果たして信じてよいのか」 という課題に直面してしまいます。また、メーカー独自規格が乱立すると、サービス事業者側の検証の負荷も増加してしまいます。

これを防ぐために、「FIDOアライアンス」という団体により策定された「FIDO 2.0」という規格が、生体認証の業界標準となっています。 この規格に準拠して開発された生体認証デバイスであれば、デバイス個別の検証をしなくても「正しい認証を行う機器」としてネット越しであっても情報のやり取りが可能となっています。

現在は、ネットの認証でパスワードを用いるのが一般的ですが、今後は指紋認証や顔認証といった生体情報だけで認証できるサービスが増えてきて、 より便利で安全な認証が実現することが期待されています。