ページの本文へ

Hitachi

セキュリティ

【世界初】夏野剛も期待する生体認証技術とは

指紋認証や顔認証でスマートフォンのロックを解除できるなど、生体認証は一般の人たちにも身近になった。
だが現在使われている生体認証の技術には、実は課題も残されている。それが「利便性と高度なセキュリティの両立」だ。
そんな中、この課題を打破する画期的な技術が誕生した。
それが日立の生体認証技術「PBI(Public Biometrics Infrastructure)」だ。この技術の何がどうすごいのか。
NTTドコモ時代から生体認証に注目していたという夏野剛氏と、PBIの開発とサービス化を担当する二人の鼎談から、
最新の生体認証技術とそれによってもたらされる未来の姿が見えてきた。

「利便性とセキュリティの両立」を実現する唯一の可能性

夏野氏

九野 夏野さんのおっしゃる通りで、生体認証なら使う際にストレスがありません。ただしこれまでは生体認証にもセキュリティの課題が残されてきました。
そもそもオンライン認証におけるセキュリティの担保はインターネット黎明期からの大きな課題であり、「何をもってネットワーク越しの非対面の相手を本人だと認証するか?」という点は未解決のままでした。(図1)

夏野 今日は話を伺うのを楽しみにしてきました。実はですね、携帯電話に世界で初めて生体認証を導入したのは私なんです。
NTTドコモ時代に「iモード」(商標:NTTドコモ)を立ち上げたときに、利便性を高めるにはIDとパスワードではなく、体で認証する生体認証が一番いいと考えた。それで2003年に生体認証を搭載した世界初の機種を発売しました。
パスワードを管理するのって、ものすごいストレスじゃないですか。私が生体認証に強い関心を持っているのは、「利便性とセキュリティの両立」という二律背反する課題を打ち破る唯一の可能性だと思っているからです。

九野氏

夏野氏

夏野 今日は話を伺うのを楽しみにしてきました。実はですね、携帯電話に世界で初めて生体認証を導入したのは私なんです。
NTTドコモ時代に「iモード」(商標:NTTドコモ)を立ち上げたときに、利便性を高めるにはIDとパスワードではなく、体で認証する生体認証が一番いいと考えた。それで2003年に生体認証を搭載した世界初の機種を発売しました。
パスワードを管理するのって、ものすごいストレスじゃないですか。私が生体認証に強い関心を持っているのは、「利便性とセキュリティの両立」という二律背反する課題を打ち破る唯一の可能性だと思っているからです。

九野氏

九野 夏野さんのおっしゃる通りで、生体認証なら使う際にストレスがありません。ただしこれまでは生体認証にもセキュリティの課題が残されてきました。
そもそもオンライン認証におけるセキュリティの担保はインターネット黎明期からの大きな課題であり、「何をもってネットワーク越しの非対面の相手を本人だと認証するか?」という点は未解決のままでした。(図1)

高橋氏

高橋 そこでこの問題を解決する手段として従来使われてきたのが、「PKI(公開鍵認証基盤)」です。
これはパスワードなどの暗号技術を用いて、リアル世界での実印に相当する「秘密鍵」と、印鑑証明書に相当する「公開鍵」を対で利用者に発行し、秘密鍵を持っている端末だけが公開鍵を開けて本人認証できる仕組みです。
PKIの利点は、認証プロトコルを使うことでオンライン側の不正や攻撃に対処できること。ただし課題もあって、最大のネックが鍵管理です。
ICカードそのものやパスワードが入ったスマホ(端末)を紛失したり盗まれたりしたら、本人であっても自分の情報や資産にアクセスできなくなってしまいます。(図2)

図1および図2

高橋氏

高橋 そこでこの問題を解決する手段として従来使われてきたのが、「PKI(公開鍵認証基盤)」です。
これはパスワードなどの暗号技術を用いて、リアル世界での実印に相当する「秘密鍵」と、印鑑証明書に相当する「公開鍵」を対で利用者に発行し、秘密鍵を持っている端末だけが公開鍵を開けて本人認証できる仕組みです。
PKIの利点は、認証プロトコルを使うことでオンライン側の不正や攻撃に対処できること。ただし課題もあって、最大のネックが鍵管理です。
ICカードそのものやパスワードが入ったスマホ(端末)を紛失したり盗まれたりしたら、本人であっても自分の情報や資産にアクセスできなくなってしまいます。(図2)

図1および図2

生体情報は取り換えがきかない

図3

夏野 そうなんですよね。先ほどパスワード認証には「忘れるリスク」があると話しましたが、PKIには「失くすリスク」がある。この二つは人間が人間である限り、絶対にゼロにはできません。

九野 そこで注目されたのが生体認証です。指紋や静脈、顔、目の虹彩といった自分の生体情報を使って本人認証を行う。これなら夏野さんが指摘された「忘れるリスク」や「失くすリスク」は発生しません。
ただし生体認証にも課題がありました。それは「生体情報が取り換えのきかない鍵であり、センシティブな情報である」ということです。
万が一、その人の生体情報が漏れたら偽造やなりすましが可能になる一方で、指紋や静脈は生涯変わらないので本人は鍵の破棄や更新ができません。
プライバシーの観点からも相当に慎重な取り扱いが求められるので、これをどう安全に管理するかが依然として課題でした。

高橋 その解決策として日立が開発したのが、世界初の技術となる「PBI(Public Biometrics Infrastructure)」です。
簡単に言えば「生体情報そのものから秘密鍵を取り出せる技術」ということになります。ですから秘密鍵や生体情報はどこにも保存されないし、ユーザーが管理する必要もありません。
生体情報を端末で秘密鍵に変換する一瞬だけワンタイムで存在し、すぐに削除されます。そのため、先ほど最大のネックと言った鍵管理の問題や生体情報が漏れるリスクはこれで解消できるのです。(図3)

夏野 それはすごいですね。生体情報から秘密鍵を取り出すというのは、どんなふうに?

高橋 では実際に、お店のレジでキャッシュレス決済する場面を想定したデモンストレーションをお見せしますね。
この端末に指をかざすと、指静脈から秘密鍵が生成されて一瞬で本人認証され、支払いが完了します。(写真1)(写真2)

夏野 本当に一瞬ですね。

高橋 もう一つのパターンもお見せしましょう。こちらは先ほどのような端末は使わず、カメラで認証します。こうして顔と手をカメラに向けると……、一瞬で本人認証します。(写真3)

夏野 手をかざしたのは、何を読み取っているんですか?

高橋 指静脈です。このカメラで読み取って、秘密鍵を生成します。
対になる公開鍵は事前にサーバー上に登録しておきますが、これは一度登録すれば様々なサービスで共通利用できますし、あらゆるデバイスから本人認証できます。
例えばスマホでも、このようにカメラで指静脈を読み取れば先ほどと同じように本人認証できます。(写真4)

写真1

写真2

写真3

写真4

「手ぶら」で安心・安全にサービスを享受できる

図4

夏野 いやあ、面白い。これまでは生体情報のデータをサーバー側まで持って行って認証するという一気通貫のソリューションはありませんでしたが、それを日立が作り上げた。
体のデータを読み取って数字のデータに置き換えるという一連のプロセスを、PKIと同じようなプラットフォーム構造の中に落とし込んで完成させたのがPBIのすごいところです。
これはまさに先ほど言った「利便性とセキュリティの両立」という課題を突破する唯一の技術ですよ。

高橋 私たちが目指しているのは、一度だけ初期登録すれば、あとはワンストップであらゆる場面において「手ぶら」で安心・安全にサービスを享受できる社会基盤の実現です。
自分の体ひとつあれば、初めて受けるサービスでも自分の身元を証明できる。そんな世界を作りたいと考えています。(図4)

夏野 いいですね。私は30年以内に携帯電話がなくなると思っているんです。いずれはスマホの情報がすべて人間の頭の中に電気信号で直接入ってくる電脳通信が現実になる。
体ひとつで生活できる世界が確実にやってくるわけですから、その時を見据えて今から生体認証の基盤整備を進める必要があります。

九野 実はすでにPBIは実用化されていて、さまざまなサービスに導入されています。
例えば、2017年から山口銀行や北九州銀行、もみじ銀行では、ATMや窓口で指静脈を読み取るだけでキャッシュカードも通帳も暗証番号もいらない「手ぶらで取引」ができます。
また、2019年12月からユーシーカードと提携してクレジットカード番号と指静脈情報を紐づけ、カードの暗証番号やサインなしで決済する実証実験も複数店舗で開始したところです。

「なんちゃってセキュリティ」に騙されるな

夏野 最上位のセキュリティレベルを要求される銀行取引やクレジットカード決済で使われているのは、PBIが「本物のセキュリティ」である証拠です。
実は今、私たちの身の回りで使われている生体認証の大半は「なんちゃってセキュリティ」がほとんど。例えばスマホ端末は顔認証や指紋認証のシステムが搭載されていますが、あれは「なんちゃってセキュリティ」と私は定義しています。
顔認証といってもパスワードロックを解いて端末を操作できるようにするだけで、IDを盗まれたら本人になりすました誰かにスマホ決済で買い物されたりするわけです。
一方で「本物のセキュリティ」は、自分の情報が商取引や決済する相手まで安全に届いて認証される。だからやはりPBIのような一気通貫が本物なんですよ。

高橋 一般的に生体認証と認識されているものも、単なるパターンマッチングと呼ぶべきものも多いです。
画像として似ているとか、特徴が一致しているというだけで、セキュリティとしては完全ではありません。
本人の識別はできるかもしれませんが、なりすましやオンライン上でデジタルデータになったときのリスクには一切関知していません。

夏野 「なんちゃってセキュリティ」を見抜くポイントは、使われている範囲です。
「中国は生体認証が進んでいる」とよく言われますが、あれは中国という政府の権限が非常に強い国と、その国に認められた事業者が特別に普及させているから。
そんなこと他の国じゃできません。だから中国で使われている生体認証システムは、中国国内でしか使われていない。でも本物のセキュリティが確立された技術なら、世界中どこでも使えるはずです。

世界に影響を与える鍵は「標準化」

夏野 今は運転免許証にまで4桁の暗証番号を設定させられますが、これだって生体認証にしてもいい。そうすれば運転免許証を携帯する義務もなくなります。

九野 技術は開発しましたが、さまざまなサービスに実装して社会に広めていくのはこれからです。そのためには仲間づくりをしなくてはいけない。
PBIは指静脈以外の生体認証も利用できますから、顔認証や目の虹彩認証といった他の生体認証に強みを持つ国内外のベンダーと組んでいきたいと考えています。

夏野 国内だけでなく海外の企業と組むべきだと思います。
新しい技術は、いかに世界に影響を与えるかを考えなくてはいけない。その鍵を握るのは標準化です。日本の企業はたいていそこで失敗する。
標準化するにはロビーイングが重要です。
だから世界への影響力が大きい海外企業を巻き込んでフォーラムみたいなものを立ち上げ、日立がボードメンバーになってPBIを生体認証のデファクトにしないと。
そうだ、標準化というと日本の企業は同業者を考えますが、影響力が大きくてその技術に関心のある企業を巻き込むことが大事です。例えば、Googleと手を組めば早いんじゃないでしょうか。
Googleは自分ではデバイスを作りたくないだろうし、セキュリティに対して一番危機感を持っていますから、関心を持つと思うんです。世界で勝つために、ぜひGAFAクラスにアプローチしてくださいよ。

九野 Googleとの協業は大変面白いアイデアですね。私たちも世界に本気で勝つために、色々な選択肢を探っていきたいと考えているので。
これまでは「日立=指静脈」というイメージでしたが、PBIは指静脈以外の生体認証にも対応できる。PBIというインフラをデファクトにすることは、社会イノベーション事業として成し遂げる価値のあるものだと考えています。

夏野 まさに社会イノベーションですね。応援してます! 日立が良い技術を広めて世界を進化させてくれることを私も期待していますから。

Hitachi Security Topics

(PDF形式、5.94Mバイト)

日立が取り組むセキュリティの「今」を伝えるコンテンツを、まとめてご紹介した冊子です。

  • 掲載コンテンツ
  • ・進化する生体認証 〜【世界初】夏野剛も期待する生体認証技術とは〜
  • ・Society 5.0時代のサプライチェーン・セキュリティ
  • ・パーソナルデータの利活用における日立のプライバシー保護の取り組み
  • ・TBSラジオ 見事なお仕事
    〜アップデートすべきは「非」専門家の知識。日立の新たなサイバーセキュリティ対策〜