認証は、疑いの余地なく、ユーザが主張通りの本人であることを検証する方法です。生体認証は、特有の身体的特徴または行動的特徴を確認することによってこの検証を実施します。
認証システムは、データベースに保存されている検証済みのユーザ情報と提供されたデータを比較することで機能します。従来のシステムでのこの情報は、パスワードになります。生体認証でのこの情報は、身体的または行動的特徴として定義されたものになります。
例えば、顔認証システムでは、さまざまな顔の特徴を処理して数値データに変換し、データベースに保存します。誰かがログインを試みると、システムはその顔を再キャプチャして数値データを抽出し、データベースに保存されているデータと比較します。生体認証には他にも次のような種類があります。
行動的生体認証は、ユーザの身体的および認知的行動を分析することによってIDを検証します。機械学習アルゴリズムを使用して、ユーザの行動および活動のパターンを判断します。次に、これらのパターンをその人物が主張通りの本人であるかどうかを検知するために使用します。
行動的生体認証には次のようなものがあります。
生体認証の核心はそれが固有であることです。そう考えると、生体認証は絶対にハッキングできないと思うかもしれませんが、それは違います。他のすべてのシステムと同様に、生体認証もハッキングを完全に防ぐことはできません。例えば、最新のAIアルゴリズムを使用して指紋を生成し、指紋スキャナーを欺くことができます。
さらに、最も高度な生体認証システムであっても、データの収集、処理、照合、および登録のプロセスにさまざまな脆弱性が確認されています。
単一モーダル生体認証システムは、顔や網膜など、1つの明白な特徴のみを検証します。しかし、先ほど説明したように、このようなシステムにはスプーフィングが入り込む余地があります。
そこで、マルチモーダル生体認証が登場します。これは、ID検証中に複数の生体認証を確認するアプローチです。これにより、犯罪者がなりすましを行うことがはるかに難しくなります。
例えば、ハッカーはユーザの写真をインターネットで見つけて、顔認証システムを騙すために使用する可能性があります。しかし、システムが追加情報(ユーザがパスワードを言う動画など)の提供を求める場合、ハッカーがそれを見つける可能性は非常に低くなります。
また、身体的生体認証と行動的生体認証を組み合わせることでも、セキュリティ体制を強化できます。犯罪者が指紋の偽装に成功しても、システムは行動の変化を検知して、侵入を拒否できます。行動の変化とは、システムとの対応速度が本物のユーザより遅かったり、本物のユーザが使ったことのないキーボードショートカットを使用していたりなどです。
生体認証は、パスワードの欠点を克服する待望の認証方法です。パスワードは非常に簡単にハッキングされます。ハッカーに必要なものは、時には、ユーザの誕生日やペットの名前だけだったりします。一方、生体認証は取得するのがはるかに困難です。
誰かの生体認証データが付箋に書かれていたり、ブラウザに自動入力されたりすることはありません。したがって、攻撃者がパスワードレス認証の生体認証システム、特にマルチモーダル生体認証システムに侵入するのは非常に困難です。
生体認証の人気が高く、広く普及している主な理由は、この認証がユーザにとって非常に便利であることです。複雑なパスワードを記憶したり、1ヶ月おきに変更したりする必要はありません。キーパッドに指を置くか、眼球スキャナーを覗き込むだけで、認証されます。
顔認証などの一部のシステムでは、ユーザの意識的なジェスチャーがなくても認識されます。部屋に入ったり、コンピュータの前に座ったりするだけで十分です。
生体認証はZero Trustモデルと密接に関連しています。本質的に何事も信頼されていない真のZero Trustモデルを構築するには、生体認証システムの耐障害性ID検証に依存することができます。
確かに、生体認証は一般的にセキュリティが高いですが、絶対確実ではありません。ハッカーは、人物の写真のダウンロードや印刷、偽のシリコン製の指紋や3Dマスクの使用など、さまざまなテクニックを使用して生体認証データを偽装する可能性があります。このような攻撃はプレゼンテーション攻撃と呼ばれています。
さらに、スマートフォンの指紋スキャナーは多くの場合、部分照合に依存しています。研究者は、多くの人の部分的に一致する「マスタープリント」を作成して、多数のユーザアカウントにアクセスできるようにすることが可能であることを発見しました。
ハッキングの可能性に加えて、生体認証システムは有効なユーザを認識できない場合があります。いつもと違うメイクをしていたり新しい眼鏡をかけている場合や、病気や寝起きの際にユーザの声が異なる場合などです。
したがって、高品質の生体認証ソリューションはコストが高くても意外ではありません。実際、ITプロフェッショナルの67%が、生体認証を採用しない最大の理由としてコストを挙げています。隠れたコストもあり、調査対象者の47%が、生体認証への移行をサポートするためにシステムをアップグレードする必要があると報告しています。
生体認証の多くの形態に関して、深刻な倫理的懸念がいくつかあります。その1つにはバイアスが関連します。顔認証システムは、有色人や非シスジェンダーを正確に認識しない可能性があります。
さらに、多くの生体認証システムは、主に白人または白人男性の写真を使用してトレーニングされています。これには、固有バイアスが組み込まれており、結果として、女性や有色人の認識が困難になります。
また、生体認証データを共有する方法についての懸念もあります。企業が生体認証データを、法執行機関、移民法執行機関、弾圧的な外国政府など、他者に販売または提供することは容認されるでしょうか? このようなプライバシーの懸念により、米国の多くの州は生体認証情報プライバシー法を制定しています。
企業にとって、生体認証データのもう1つの厄介な側面は、そのストレージです。生体認証データを保管する場所は、必ず安全に保護する必要があります。生体認証データはパスワードのようにリセットできないからです。生体認証データがハッキングされた場合、もう取り返しがつきません。人の指紋や虹彩を変更することはできないのです。
従業員や顧客の生体認証データを保存することを選択した企業は、大きな財務的または倫理的責任を負います。これは、デバイス上のストレージを検討する理由の1つです。つまり、生体認証データをスマートフォンやコンピュータなどユーザを認証するデバイスに保存することです。
これにより、ユーザはデータを制御できます。また、場所がローカルデバイスに制限されるため、一度の侵害で大量の生体認証データにアクセスされる可能性が削減されます。
生体認証の議論には多くの側面がありますが、確かなことが1つあります。それは、このテクノロジーが普及していることです。生体認証には、短所と欠点を大きく上回る長所があることから、企業が引き続き生体認証を採用していくことが予想されています。