Windows Helloで始まる生体認証時代・・・生体認証は安全性を高めるか?
今やスマートフォンにも標準で搭載され始めた指紋認証、虹彩認証までドコモの富士通製スマホに今年は採用され、今後が期待される生体認証だが、WindowsはWindows8.x時代に始まったピクチャパスワード(画像の指定した場所をしていた順番で触る)が追加されている程度で、指紋認証などの機能を使うにはサードパーティ製のソフトウェアが必要であった。
それが、ついにWindows Helloとして実装されることになる。
今回はこれをセキュリティという面で考えたい。これは、今既にWindows以外の認証で使っている人にとっても、興味深い内容かも知れない。
<使える生体認証は、指紋、虹彩、顔、10に対応するハードが必要>
Helloでは顔認証機能、指紋認証機能、虹彩認証機能のいずれかも使えるようになる。
それらのスキャナーを持っている場合で、Windows Hello/Passport対応のWindows10ドライバがあれば、Windowsのログオンに限らず、Passport API対応のサービスやデバイスの認証でもそれらの情報を登録していれば使うことが出来るようになるだろう。
即ち、これまでのパスワードをいちいちサービス毎に覚える手間から解放される時代がくるのである。
これによって、大幅にセキュアで高強度なセキュリティを手に入れることが出来ると思う・・・が、本当にそれで安全性とユーザービリティの両立が出来るのだろうか?考えて見たい。
まず、Helloに関しては、いくつか注意点がある。
まず、顔認証だが現時点では市販のカメラでこの認証に完全対応するものは、Intel Realsense 3Dカメラぐらいしか対応品は存在しない。これは、カメラに求める機能として立体視度が必要であるためだ。簡単に言えば赤外線など複数のセンサーを用いて、顔を立体把握するのだ。立体感が分からないカメラでは顔認証はできない。
指紋認証や虹彩認証も先に述べたように、これまでの機器が使えるかというと保証はできない。これには、Helloでも動くことが確認されたドライバが必要である。これは、これまでの多くの新デバイスで行われてきたデバイス互換性の呪縛である。
<利便性が上がるOSのセキュリティだが・・・セキュリティ性能が劇的に上がるわけではない>
これで、パスワードを覚えなくとも、今後は自分の体で認証できるようになり便利となるが・・・セキュリティの品質としては、実は決して安全性が飛躍的に上がるとは言えない。
指紋認証や虹彩認証、顔認識による認証はまるでセキュリティが飛躍的に上がっていくように見ている向きが見られるが、現実を言えばパスワードを覚える必要がなくなるという利点はあるが、全てに同じ指紋を使ったり、全てに同じ画像を使うことは決して安全性が高まることと同義ではないということは理解しておいた方が良い。
<セキュアと思われている機能・・・だが・・・>
生体認証の方が安全であるとされる本当の理由は、たった2つである。これから普及するからということ。人が記述するパスワードに比べて複雑な情報を元にするため、コードをコピーされにくいという点にある。
しかし、この手のマッチングはパスワードのように「ひらけごま」というパスワードに「ひらけごま」と同じものを返す仕組みとは違う。傷やけが、しわなど人の変化による要素を織り込んで、同一人物であると認める範囲が存在するのである。そのため、認証レベルが甘い仕組みだと希に違う人でも突破できる可能性はあるし、大きなけがなどをすると、同一人物でも認証が通らなくなる。
さらに別の方法での突破の可能性がある。
これは、いち早く採用しているiOSでも起きたことだが、共通のセキュリティプラットフォームだと、共通の脆弱性被害が起きやすい。たとえば個人の端末として普及すると、その機材を盗まれたりした場合は、ジャミング措置や、センサー機材の偽装などで、情報搾取が可能となる恐れがある。
もし、その端末が盗まれ、キーが流出すれば、同じキーを使っている他のサービスでも、その情報で突破される可能性がある。具体的に言えば次の図のようになる。要は、本体のログインを迂回し、本体の情報を見えるようにすれば、本体に保存されている暗号化された認証キーを複合できる可能性は高い。その認証キーを取り出せれば、複合の可能性はきわめて高くなる。
実際には、上記の図のように簡単にはいかない※が、理屈上たとえば顔なら、相手を撮影すれば良い。指紋なら、相手の指紋を入手できれば良いのである。虹彩は流石に難しいと思うかも知れないが、スマートフォンのカメラを勝手に操作するマルウェアなどは存在する。即ち、パスワードを盗む方法はあるのだ。
※基本的に最近の認証キーは二つの異なる要素を足したときに一つの答えを出す仕組みのキーが多いため。たとえば、海と質問されて山と返す。コンピュータ内には海だけが入っており、外から山がやってくると、その2つを足して本当の答えとなる「川」ができるような仕組みを持つものもある。これは、暗号化アルゴリズムと認証アルゴリズムの複合によって作られる多点認証の暗号原理である。この複雑さが逆に脆弱性につながることもあるが、こうすれば、内部情報を盗まれても、そこから外部の合わせ鍵を複製するのはかなり難しい。
ちなみに、ある条件を満たすとこの問題は起きない。具体的に言えば、銀行のATMだけに利用される認証といった決まった専用の機械を介した公衆用途では安全性や信頼性が高くなる。反面、Webサービスなどどこからでもどの端末からでもアクセス出来る共通用途の場合は、統一パスワードを同じ指紋や、声紋、虹彩などにしてしまうと、保存されているマッチングデータがクラッキングされるリスクが高まり、目も当てられない結果になる。
すなわち、生体認証はオープン(誰でも同じ仕組みが使えるもの)になると実は安全を担保するものではなくなるのだ。むしろ、頭の中にパスワードとしていくつも記憶してその都度手入力しているほうが安全な場合もある。
<怖いのは、安全と思い込むことと、それ故の保証制度の弱さ>
安全性が高くセキュリティも高いと、指紋認証などを評価する人は多いが、結局のところはこれもパスワードを1つに統一するのと同じで、セキュリティ暗号化の技術が、そればかりにシフトし、それを攻撃しないと情報が奪えない時代になれば、クラッキングする側がそこに本腰を挙げて取り組むため、結果的に後から、こんな使い方はダメの1つが生まれる可能性は高い。そこは本来、我々がリスクを予知しておく必要がある。
まあ、今の段階ではあくまで、これは将来的なリスクに対する理屈であり、いますぐそのリスクが表に出てくるわけではないが、一辺倒にこれをセキュリティの革命のように見ることは出来ないのである。
絶対安全を謳うシステムは、実を言えば脆弱性がない前提となっており、もしその仕組みから情報が漏れると、普通のサービスなら、保険などによって損害補填されるはずのことが、保証されないケースもある。そのためこういう新システムのセキュリティ認証は、システムが攻撃によって崩れないように、もし崩れてもすぐに分かるように管理しなければいけないのである。
これは、生体認証が悪いという話ではなく、生体認証を使うシーンと使わないシーンを、うまく使い分けることがこれからは求められるということである。使い分ければ、方法が増える事で攻撃者はどの方法でログインしているかを、把握しにくくなり、強固なセキュリティとなるが、生体認証があるから、全部それで対応していると、全部破られるリスクが増すということだ。
生体認証は専用の設置デバイスには効果的に機能する。しかし、スマートフォンなどの汎用的なデバイスと同じ認証を、信頼性認証として使うと、情報漏えいのリスクが将来的に高まり、信頼性認証の突破の材料として、使われる恐れが高まる。
生体認証は確かに使い方によってはバリエーションを広げ安全性を高めるだろう。しかし、これを全てのサービスで過信して使うと、パスワードを使い回しているのと同じ結果になる。そこは、忘れてはいけない部分である。
そして、パスワードと大きく違うのは、自分の体の一部分を使うということである。
自分の体の一部ということは、盗撮されればそのパスワードが意味をなさなくなることも理解しなければいけない。
そこが分かって使い分けることが出来れば、利便性も高く信頼性の高いセキュリティ認証になるだろう。
それが、ついにWindows Helloとして実装されることになる。
今回はこれをセキュリティという面で考えたい。これは、今既にWindows以外の認証で使っている人にとっても、興味深い内容かも知れない。
<使える生体認証は、指紋、虹彩、顔、10に対応するハードが必要>
Helloでは顔認証機能、指紋認証機能、虹彩認証機能のいずれかも使えるようになる。
それらのスキャナーを持っている場合で、Windows Hello/Passport対応のWindows10ドライバがあれば、Windowsのログオンに限らず、Passport API対応のサービスやデバイスの認証でもそれらの情報を登録していれば使うことが出来るようになるだろう。
即ち、これまでのパスワードをいちいちサービス毎に覚える手間から解放される時代がくるのである。
これによって、大幅にセキュアで高強度なセキュリティを手に入れることが出来ると思う・・・が、本当にそれで安全性とユーザービリティの両立が出来るのだろうか?考えて見たい。
まず、Helloに関しては、いくつか注意点がある。
まず、顔認証だが現時点では市販のカメラでこの認証に完全対応するものは、Intel Realsense 3Dカメラぐらいしか対応品は存在しない。これは、カメラに求める機能として立体視度が必要であるためだ。簡単に言えば赤外線など複数のセンサーを用いて、顔を立体把握するのだ。立体感が分からないカメラでは顔認証はできない。
指紋認証や虹彩認証も先に述べたように、これまでの機器が使えるかというと保証はできない。これには、Helloでも動くことが確認されたドライバが必要である。これは、これまでの多くの新デバイスで行われてきたデバイス互換性の呪縛である。
<利便性が上がるOSのセキュリティだが・・・セキュリティ性能が劇的に上がるわけではない>
これで、パスワードを覚えなくとも、今後は自分の体で認証できるようになり便利となるが・・・セキュリティの品質としては、実は決して安全性が飛躍的に上がるとは言えない。
指紋認証や虹彩認証、顔認識による認証はまるでセキュリティが飛躍的に上がっていくように見ている向きが見られるが、現実を言えばパスワードを覚える必要がなくなるという利点はあるが、全てに同じ指紋を使ったり、全てに同じ画像を使うことは決して安全性が高まることと同義ではないということは理解しておいた方が良い。
<セキュアと思われている機能・・・だが・・・>
生体認証の方が安全であるとされる本当の理由は、たった2つである。これから普及するからということ。人が記述するパスワードに比べて複雑な情報を元にするため、コードをコピーされにくいという点にある。
しかし、この手のマッチングはパスワードのように「ひらけごま」というパスワードに「ひらけごま」と同じものを返す仕組みとは違う。傷やけが、しわなど人の変化による要素を織り込んで、同一人物であると認める範囲が存在するのである。そのため、認証レベルが甘い仕組みだと希に違う人でも突破できる可能性はあるし、大きなけがなどをすると、同一人物でも認証が通らなくなる。
さらに別の方法での突破の可能性がある。
これは、いち早く採用しているiOSでも起きたことだが、共通のセキュリティプラットフォームだと、共通の脆弱性被害が起きやすい。たとえば個人の端末として普及すると、その機材を盗まれたりした場合は、ジャミング措置や、センサー機材の偽装などで、情報搾取が可能となる恐れがある。
もし、その端末が盗まれ、キーが流出すれば、同じキーを使っている他のサービスでも、その情報で突破される可能性がある。具体的に言えば次の図のようになる。要は、本体のログインを迂回し、本体の情報を見えるようにすれば、本体に保存されている暗号化された認証キーを複合できる可能性は高い。その認証キーを取り出せれば、複合の可能性はきわめて高くなる。
実際には、上記の図のように簡単にはいかない※が、理屈上たとえば顔なら、相手を撮影すれば良い。指紋なら、相手の指紋を入手できれば良いのである。虹彩は流石に難しいと思うかも知れないが、スマートフォンのカメラを勝手に操作するマルウェアなどは存在する。即ち、パスワードを盗む方法はあるのだ。
※基本的に最近の認証キーは二つの異なる要素を足したときに一つの答えを出す仕組みのキーが多いため。たとえば、海と質問されて山と返す。コンピュータ内には海だけが入っており、外から山がやってくると、その2つを足して本当の答えとなる「川」ができるような仕組みを持つものもある。これは、暗号化アルゴリズムと認証アルゴリズムの複合によって作られる多点認証の暗号原理である。この複雑さが逆に脆弱性につながることもあるが、こうすれば、内部情報を盗まれても、そこから外部の合わせ鍵を複製するのはかなり難しい。
ちなみに、ある条件を満たすとこの問題は起きない。具体的に言えば、銀行のATMだけに利用される認証といった決まった専用の機械を介した公衆用途では安全性や信頼性が高くなる。反面、Webサービスなどどこからでもどの端末からでもアクセス出来る共通用途の場合は、統一パスワードを同じ指紋や、声紋、虹彩などにしてしまうと、保存されているマッチングデータがクラッキングされるリスクが高まり、目も当てられない結果になる。
すなわち、生体認証はオープン(誰でも同じ仕組みが使えるもの)になると実は安全を担保するものではなくなるのだ。むしろ、頭の中にパスワードとしていくつも記憶してその都度手入力しているほうが安全な場合もある。
<怖いのは、安全と思い込むことと、それ故の保証制度の弱さ>
安全性が高くセキュリティも高いと、指紋認証などを評価する人は多いが、結局のところはこれもパスワードを1つに統一するのと同じで、セキュリティ暗号化の技術が、そればかりにシフトし、それを攻撃しないと情報が奪えない時代になれば、クラッキングする側がそこに本腰を挙げて取り組むため、結果的に後から、こんな使い方はダメの1つが生まれる可能性は高い。そこは本来、我々がリスクを予知しておく必要がある。
まあ、今の段階ではあくまで、これは将来的なリスクに対する理屈であり、いますぐそのリスクが表に出てくるわけではないが、一辺倒にこれをセキュリティの革命のように見ることは出来ないのである。
絶対安全を謳うシステムは、実を言えば脆弱性がない前提となっており、もしその仕組みから情報が漏れると、普通のサービスなら、保険などによって損害補填されるはずのことが、保証されないケースもある。そのためこういう新システムのセキュリティ認証は、システムが攻撃によって崩れないように、もし崩れてもすぐに分かるように管理しなければいけないのである。
これは、生体認証が悪いという話ではなく、生体認証を使うシーンと使わないシーンを、うまく使い分けることがこれからは求められるということである。使い分ければ、方法が増える事で攻撃者はどの方法でログインしているかを、把握しにくくなり、強固なセキュリティとなるが、生体認証があるから、全部それで対応していると、全部破られるリスクが増すということだ。
生体認証は専用の設置デバイスには効果的に機能する。しかし、スマートフォンなどの汎用的なデバイスと同じ認証を、信頼性認証として使うと、情報漏えいのリスクが将来的に高まり、信頼性認証の突破の材料として、使われる恐れが高まる。
生体認証は確かに使い方によってはバリエーションを広げ安全性を高めるだろう。しかし、これを全てのサービスで過信して使うと、パスワードを使い回しているのと同じ結果になる。そこは、忘れてはいけない部分である。
そして、パスワードと大きく違うのは、自分の体の一部分を使うということである。
自分の体の一部ということは、盗撮されればそのパスワードが意味をなさなくなることも理解しなければいけない。
そこが分かって使い分けることが出来れば、利便性も高く信頼性の高いセキュリティ認証になるだろう。
この記事へのコメント