誰が身分証明のプラットフォームになる?:生体認証のインパクト

ヤフージャパンIDソリューション本部本部長でユニットマネージャーの森健氏は、11月初旬に開催された日本マイクロソフトのイベントで、生体認証をヤフージャパンへのログインに導入すると語った。

森氏はヤフージャパンのアクティブユーザー数は3614万ユーザーで、2016年4~9月の平均ログイン試行数は月間1億5000万回を超えると説明した。ヤフージャパンはWindows10デバイスで利用可能な生体認証機能の「Windows Hello」に対応するという。

森氏は「生体認証に対応したデバイスが普及したことで、生体認証によるユーザー認証が現実的な環境になった」と語った。生体認証によるユーザー体験が以下のように向上する、としている。

  • パスワードを記憶することが不要になる
  • 文字入力からの脱却
  • パスワードの脆弱性の解消

ヤフーはオンライン認証技術の標準化を目指す非営利団体「FIDO Alliance(ファイドアライアンス)」に加盟した、と森氏は語った。FIDOが策定した認証プロトコルを採用し、ヤフージャパンIDの生体認証を実現するとしている。

FIDOはPayPalの最高情報セキュリティ責任者だったマイケル・バレット氏を中心に2012年に発足。FIDOはふたつの認証プロトコル標準を策定しており、Google、マイクロソフト、アリババ、サムスン、ARM、Visa、マスターカードなどが加盟している。

生体認証プラットフォームを築くのは誰か

生体認証は将来的にインターネットサービス、EC、クレカ決済、金融取引などにおける身分証明を一手に引き受ける広範な利用可能性がある。

課題は指紋、虹彩、顔などの生体情報の管理であり、一度悪意のある他者に生体情報を取得された場合、指紋の複製をつくるなどの方法で認証をパスされる可能性が出てくることだ。偽造が難しい指静脈を複数の指で確認する「指静脈認証」を開発する企業もある。また、他人と誤ったり、本人にもかかわらず認証に失敗する「認証エラー」は利便性や安全性を低下させる。

しかし、課題がクリアされれば、ユーザーの生活は大きく変わるだろう。たとえば、サービスAに対し生体情報を提供したとする。ユーザー体験から想定すると、認証提供者をひとつに絞れればとても使いやすい。サービスAは認証機能をAPIで開放しているため、ユーザーはほかのサービスでもAの生体認証を利用できる。こうなると、サービスAの生体認証が、身分証明に類する書類、クレジットカード利用時の認証を代替する可能性がある。サービスAは認証という重要な機能を握り、ユーザーは各サービス提供者に個別に生体情報を提供する必要がなくなる。ただし、サービスAは生体情報に関してどんな脆弱性も許されなくなる。

もちろん、ユーザーは生体情報を各サービス提供者に渡すことも考えられるが、1カ所でも弱いところがあれば、極めて重要で変更のきかない生体データが流出するリスクがある。

サービス提供者は生体認証プラットフォームになれれば大きな機会を享受する可能性がある。ただし、誰がどのような形で生体情報と身分証明を管理すれば安全で便利なのか議論が必要かもしれない。

Written by 吉田拓史
Photo by Thinkstock