近年、各省庁が発表するガイドラインにおいて、公共機関や医療機関などで多要素認証(二要素認証)の導入が必須項目や遵守事項として記載されている。この流れを受けて注目されているのが「生体認証」だ。ID・パスワードによる認証や、カードやトークンといった物理デバイスを用いた認証に生体認証を組み合わせることで、強固な認証が実現可能である。本記事ではストレスフリーな多要素認証が可能となる、生体認証のソリューションを紹介しよう。
高度な情報を扱う機関で「多要素認証」が必須化
昨今、官公庁や医療機関、教育機関、金融機関などさまざまな組織で、複数の認証方法を組み合わせる多要素認証の需要が増加している。背景にあるのは言うまでもなく、セキュリティ意識の高まりだ。
たとえば、2022年に西日本の医療機関でランサムウェアにより、推定逸失利益10億円に達する深刻な被害が発生している。医療機関を標的としたサイバー攻撃は依然として増え続けており、厚生労働省が策定した「医療情報システムの安全管理に関するガイドライン 第6.0版」では、2027年時点で稼働している医療情報システムへの多要素認証の実装が必須とされている。
ほかにも、総務省が2023年に改訂した「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和5年3月版)」では、重大な被害を及ぼす可能性のあるネットワーク接続やクラウドサービスへのアクセスにおける多要素認証導入を推奨している。こうした流れを受け、教育機関や金融機関でも管轄する省庁や団体などから多要素認証の導入を必須化するガイドラインが出されているのだ。
脆弱なログイン認証がサイバー攻撃の引き金に
サイバー攻撃の原因はさまざまであるが、ID・パスワードのみを使用した認証方法も原因の一つとして挙げられる。ID・パスワードを利用する「記憶認証(知識認証)」では多くの場合、同じパスワードを使い回す方法が用いられているのが現状だ。この場合、攻撃者が一つのアカウントのID・パスワードを入手するだけで、同じID・パスワードを使用したほかのシステムへの侵入が可能となってしまうため、サイバー攻撃を受けやすい。上述の医療機関における被害事例も、共通のパスワードを使用したことが原因として報告されている。
また、ID・パスワードの安全性は個人の記憶や管理に大きく依存するため、流出する危険性が高い。ログイン時に本人確認ができないことから、誰がシステムにアクセスしたのか特定が難しいという課題もあるだろう。最近では、管理者権限を持つIDとパスワードが悪用され、組織に深刻な被害を及ぼすケースもしばしば見られる。とはいえ、複雑なパスワードを設定すると「パスワードを忘れた」といった問い合わせが発生し、管理者側の対応工数がかかってしまうことが懸念される。
多要素認証が求められる昨今、ICカードやトークンといった物理デバイスを用いた「所持認証(物理認証)」と組み合わせる方法もあるが、デバイス自体を常に携帯しなければならず、紛失・盗難のリスクが付きまとう。発行や盗難対策などの管理コストも増えるほか、そもそも貸し借りが簡単にできてしまうため、こちらも確実な本人特定が難しい。
生体認証の併用によりストレスフリーかつ強固な本人認証を実現
そこでいま注目度が高まっているのが「生体認証」だ。生体認証は、静脈、指紋、顔、虹彩といった生体情報を用いて認証する方法である。なりすましが難しいため本人証明を確実に行えるほか、パスワードのように記憶しておく必要も、カードのように携帯する必要もない。当然ながら紛失や盗難の心配もなく、ストレスフリーな認証が可能だ。
たとえば、ログインパスワードを使用し、本人特定の部分で生体認証を活用する多要素認証を実装すれば、万が一パスワードが外部に流出しても高いセキュリティを維持することができる。また、一度の認証作業ですべての連携するシステムにログインできるシングルサインオン(SSO)が生体認証時に活用できれば、ユーザー側の煩雑さがより解消できるだろう。記憶認証や所持認証に生体認証を組み合わせることで、より強固で使い勝手のよいセキュリティ認証を実現できるのだ。
手軽でコストメリットも期待できる「顔認証」に注目
こうした生体認証を用いた多要素認証を実現するにあたり注目したい製品が、日立ソリューションズが提供する「AUthentiGate(オーセンティゲート)」だ。
AUthentiGateは、生体認証情報やICカードの認証情報とユーザー情報などを一元管理し、認証要求を統合的に処理するサーバーソフトウェアである。Windowsや業務アプリケーションへのログイン認証はもちろん、入退室や社内機器を利用する際の認証にも対応。多彩な業務アプリケーションとのAPI連携や、生体認証を利用したパスワード代行入力によるSSOにも対応しており、強固なセキュリティを担保しながらさまざまなシステムにおける多要素認証が実現可能だ。アクセスログを確認して利用者を特定することもできるほか、認証に関する情報をサーバーで一元的に管理するため、管理者側の運用負荷も軽減できる。
従来は指静脈認証とICカード認証のみの対応だったが、このほど新たに「顔認証」も対応可能となった。端末内蔵カメラで認証できるため、ハンズフリーでログインできるほか、別途認証デバイスを購入する負担もなく、コストメリットも期待できる。
偽造・改ざんが困難で安全性が高い指静脈認証は、20年以上に及ぶ実績を有しており、その信頼性は折り紙付き。この指静脈認証と顔認証の双方に対応できることも、AUthentiGateのアドバンテージといえるだろう。パスワードやICカードなどと生体情報を併用した多要素認証により、より確実な本人認証を一元的に実現できるのだ。
AUthentiGateで実現する柔軟な多要素認証
顔認証が追加されたAUthentiGateの導入により、どのような多要素認証が実現できるのだろうか。ここからは二つのユースケースを見ていこう。
まずは公共機関や金融機関も含めたオフィスワークにおけるケースだ。新型コロナウイルスの感染拡大以降、在宅勤務やモバイルワーク、社内でもノートPCをほかの場所に持ち運んで使うケースが当たり前となった。ICカードなどの所持認証の場合は、外付けの読み取り装置をPCと一緒に持ち歩く必要があるが、顔認証であれば端末に搭載されたカメラに顔を映すだけで、セキュアなログインが可能だ。デバイスレスのため、紛失や持ち忘れの心配もない。特に営業部門などPCを社外に持ち運ぶことが多い部門なら、いつでもどこでも安全かつ便利にログインできる顔認証がメリットを発揮するだろう。
もう一つ、オフィスワークにとらわれないケースで見てみよう。医療機関では機微な個人情報を扱うことから高度な認証精度を求める傾向が強く、生体認証を採用するケースが多い。院内で事務を中心に担当するスタッフは指静脈認証、患者対応で移動することが多い看護師や手袋をしている時間が長い医師にとっては、ハンズフリーで強固に守られた患者情報にアクセスできる顔認証といったように、業務のシチュエーションに応じて指静脈認証と顔認証を選択できるのも、AUthentiGateの強みといえる。
離席時ロックや覗き込み防止など、顔認証ならではの機能も
顔認証に対応できるようになったことで、新たな機能も追加された。たとえば「離席時ロック」機能。離席などで本人の顔が検知できなくなると画面が自動的にロックされ、ほかのユーザーの不正利用を防ぐことができる。また、ほかのユーザーのなりすましを防ぐ機能や、覗き込みを検知した際に画面ロックを行う機能も備えていることから、ソーシャルエンジニアリングの抑止も期待できる。
なお、AUthentiGate自体はオンプレミスに導入する製品だが、自社にサーバーを構築することなく生体認証の機能をクラウドで利用できる「Biometric Signature Sign-in Service(バイオメトリクス シグネチャ サインイン サービス)」も用意されている。このサービスは日立独自のPBI(Public Biometric Infrastructure)技術により、生体情報自体をどこにも保管せずに生体認証を実現するため、センシティブな個人情報が漏洩する懸念がないのもポイントだ。
従来の記憶認証や所持認証の弱点を補いつつ、高い本人確認精度と利便性を両立させる生体認証。新たに対応可能となった顔認証のほか、情報漏洩リスクを防ぐさまざまな機能も備えたAUthentiGateなら、多要素認証の導入が必須化となった各機関でも、より高度なセキュリティ認証を発揮するだろう。
Windows 11 24H2、自動で行われるストレージ暗号化に注意を
