Episode 60| バイオメトリクス: プライバシー、問題点、そして可能性
近年、バイオメトリクスが注目されています。バイオメトリクス認証システムは、パスワードの代わりとなり、ユーザーのログイン体験を効率化する可能性を秘めています。しかし、これらのシステムを使用する前には、多くの検討事項があります。どのような場合に、どのように使用するのか。また、どのようなリスクがあり、どのような場合にバイオメトリクスに懐疑的になるべきなのでしょうか?DEFCON 29 Rogues Villageでバイオメトリクスのプレゼンテーションを行ったVic Harkness(ヴィク・ハークネス)と、エフセキュアのレッドチームのTom Van de Wiele(トム・ヴァンデヴィーレ)に、サイバーセキュリティサウナのエピソード60に参加いただき、バイオメトリクス認証システムのメリットとデメリット、私たちの体を測定するちょっと変わった方法、そしてなぜレイヤー・セキュリティが依然として最も効果的なのかについて語っいただきました。
Janne:Cyber Security Sauna へようこそ。
Tom: お招きいただきありがとうございます。
Vic: ありがとうございます。
一般的に、バイオメトリクスを本人確認や認証に利用するメリットは何でしょうか?私は、指紋を家に置き忘れることはないと言うことだと思いますが。
Vic: 指紋や顔は忘れることがないというのはメリットです。持ち運ぶ手間がかからず、パスワードにように紙に書いて携える必要もありません。
また、盗難の可能性も低いと言えます。顔写真は盗めません。いや、本当にそうでしょうか?。実は、それがこのシステムの潜在的な欠点のひとつなのです。もし、他人の顔写真を使って認証できたら大変なことになります。
でも、ありがたいことに、多くのシステムはそのようなことがないように作られています。ただし、完璧ではありません。
では、バイオメトリクスとは、正確にはどのようなものを指すのでしょうか?指紋はもとより顔もそのひとつですね。基本的に、何らかの方法で私たち自身を測定したものに基づいて識別するということでしょうか?
Vic: はい。バイオメトリクスとは、基本的に人間の身体を数値化することです。人体を数値で記述し、理想的にはそれを独自に表現する方法です。
これにはさまざまな方法があります。最も一般的なのが指紋認証で、コンピュータが指紋の中の「微細構造」と呼ばれる特定の位置を調べて、それを数値で符号化し照合に使用します。顔認証システムも同様です。多くの場合、顔の周りのさまざまな位置とそれに関連する数値を調べます。
それと同様に私のパスワードもそのまま保存されるのではなく、ハッシュ関数としてシステムに保存されます。また同様に、私の指紋画像もそのまま保存されるのではなく、なんらかの数値化されたものとして携帯電話に保存されるということですよね。
Vic: そのとおりですがシステムにもよります。たとえば、最近のパスポートでは顔写真と指紋が使われています。実際に完全な指紋の写真が保存されていますし、国境では完全な指紋を採取されることがよくあります。
しかし、スマートフォンのロックを解除したり、アプリケーションを開くのが目的の場合には、指紋そのものではなく、指紋を数値化してエンコードされたものが保存されます。これは、ストレージファイルが侵害された時、パスワードが単なるプレーンテキストでは悪用されてしまうので、ソルト付きでハッシュ化するのが理想的であるのと同じことです。
Tom: 問題は、すべての技術が同じように構築されているわけではなく、一部のセキュリティベンダーは、私たちのポケットに入っている消費者向け技術とは異なるセキュリティ基準を適用したり遵守する必要があるということです。したがって、指紋読取装置や顔認証装置について語るときは、消費者向けの技術と、それ以外の用途で使用されている技術とをしっかり区別しなければなりません。
まさにそのとおりですね。他にも認識の補正制御に関する話があります。私は「あるタイプの指紋リーダーについては安全ではない。なぜならリーダーにクランプを付けてタッチすると認証できてしまうから。そうやってデータを補正することができてしまうから」という話があったのを覚えています。そして、海兵隊ではこのタイプのリーダーが使われています。ある海兵隊大佐は「確かにそうです。しかし指紋リーダーのすぐ側には武装した海兵隊員が立っているんです。もしそれでもよいなら、ぜひクランプを付けてやってみてください」と話していました。
Tom: これは非常に良い観点です。企業や政府がバイオメトリクスを使用するのには理由がありますが、問題は他のセキュリティ管理と同様に、単独でのセキュリティ管理ではいずれ失敗するということです。
そこで、PINやパスワード、あるいは先ほどの話のような武装した警備員、あるいは一部の人しかアクセスできない特定の地理的条件を設定するなど、さまざまなセキュリティ管理を組み合わせる必要があります。したがって、保護しようとしているものが何であれ、すべてを保護するには異なるセキュリティ管理を組み合わせるべきで、その中にはバイオメトリクスも含まれます。
なるほど、そうなんですね。。さて、バイオメトリクス認証に対する最も一般的な議論のひとつは、指紋を変えることはできないというものです。では、指紋が侵害され漏洩した場合はどうするのでしょうか?Vic、あなたは大した問題ではないとおっしゃっていますね。それはなぜですか?
Vic: はい、そう言っています。指紋を表す特定の数値をエンコードするだけのシステムであれば、攻撃者がその数値を盗んだところで大したことはできません。実際に使用するには画像全体を盗む必要があります。
なるほど。。それでは、子供が眠っている父親の指を使って、ゲームのアプリ内課金をするように、攻撃者が実際に被害者の顔や指紋に直接アクセスした場合はどうでしょうか?
Vic: バイオメトリクスシステムでは、ある種の活気検出技術など、二次的な生体認証手段がシステムに組み込まれていることがよくあります。子供が父親の指紋を使ってコンピュータゲーム内通貨を購入するような場合には、あまり厳しい二次的生体認証はしない傾向にあります。そのため、父親の指をスマートフォンに押し当てれば買うことができるでしょう。
しかし、銀行ローンを利用したり、他の機密性の高い金融取引をするなど、もっと大事な用途を考えた場合、銀行は単にその人の写真を提供してもらうだけでは済みません。その人の写真はソーシャルメディアから入手できるかもしれないからです。その人の写真を撮ることはできますか?本人チェックの際にカメラで撮って、本人がそこにいることを確認できますか? この種のシナリオでは、本人が現れて電話に出てもらえるようにするだけでなく、本人に同意してもらう必要があります。
銀行は、恋愛関係にある相手の間で行われる不正行為に関して多くの問題を抱えています。この場合には一方が恋愛関係にある相手の名前を使ってローンを組もうとします。これは明らかに銀行がしてほしくないことです。なぜなら、恋人なら、相手の生年月日や住所など、あらゆる種類の個人情報にすぐにアクセスできてしまうからです。。相手の顔にもアクセスできるでしょう。たとえば、相手がベッドで寝ているときに、その寝顔を使ってシステムを認証することも可能です。そこで銀行が力を入れているのは、ローンを組む人が決められたフレーズを話すビデオを要求するというものです。この場合は、「私の声が私のパスワード」というようなものではなく、「私の氏名はXX(フルネーム)で、これは・・・」というようなものです。
「私はローンを組みたいのですが」と話すのですね。
Vic: そうです。また、数字の12を言ったり、特定のジェスチャーをするなど、半分ランダム的なデータを追加することもあります。システムは強要をしてくるわけではありませんが、、自分の名前でローンを組む人は、何が起きているかを明確に認識しています。そうすることで詐欺のリスクを減らすことができるのです。
あなたが言った「強要」という言葉は良い表現ですね。というのも、誰かが他人の頭に銃を突きつけて、力ずくで写真を撮ったらどうなるのか?という議論があるからです。私が銃を突きつけられてパスワードを教えろと脅されたら、やはり教えるでしょう。したがって、それはバイオメトリクス固有の問題だとは思いません。
Vic: ええ。それほど強いレベルで強要されれば、拒否することはできないでしょう。
人々が懸念しているのは、法の執行に関わることです。現在の米国の法律では、スマートフォンのパスワードを教えるよう強要することはできませんが、指を指紋リーダーに押し付けたり、警官がカメラを1秒間見ることを強要する可能性はあります。そうすると自動的にロックを解除できます。これらの場合は、有罪を示す証拠を探すことになります。
iPhoneでは、そのようなやり方で一時的にロック解除されることを防ぐツールが導入されていると思います。これについては、以前Tomが私に話してくれました。
Tom: そうですね。最新のiPhoneやiPadでも搭載しているTouch IDやFace Iは以前のものですが、緊急サービスのメニューを表示してから、再度キャンセルすると、Face IDなどの機能が一時的に無効になります。たとえばデモ会場などで、誰かにスマートフォンを悪用されたり、ロックの解除を強要される可能性がある場合に有効です。
望むと望まないにかかわらず、すべての場所が顔のロックを解除するのに安全であるとは限らないことを理解した上で、少なくとも技術がそのようなシナリオに対応しようとしているのは良いことです。企業が機敏に動いて、私たちにそのような技術を使いたい時に選べるようなツールを十分に提供してくれることを期待しましょう。
それはとても興味深いですね。バイオメトリクスに関して、その他にリスクやデメリットはありますか?
Tom: 少なくとも、私にとっての最大の懸念のひとつは、すでに触れたように一種のセマンティクス(データの中身)の議論です。すべてのバイオメトリクスシステムが同じように作られているわけではありません。それらの情報が大規模データベースの一部になっていることもあります。そのデータベースが漏洩した場合は、当然ながらその人の名前やバイオメトリクスデータが誰かに悪用される可能性があります。
これもまた、個人情報の窃盗や詐欺の範疇に入ります。たとえば誰かが企業や政府に職を得たい、政治家になりたいと思っている人に嫌がらせをするケースがあります。
したがって、これはバイオメトリクス認証を使用する時点や、これまで話したことだけに留まらない問題です。侵害を受けた時にどうするかというアフターマーケットの問題でもあるのです。というのも、バイオメトリクス技術を導入している人々や企業のうち、どれだけが実際に侵害が発生した場合の危機管理シミュレーションを行っているか不明だからです。
というのも、先ほど話したように、顔や指紋は変えることができません。ですから、攻撃者にとってそのデータを生成したり使用したりすることが、直接販売においても、アフターマーケットでの販売においても極めて困難でコストがかかる状態になっていることを確認しておくべきです。
たとえば、バイオメトリクスデータのキャプチャ方法を変更して、古いハッシュを使えないようにすることはできますか?
Tom: そのためには、キャプチャ方法を変更する権利を登録する必要があるでしょう。
または、全員に再登録してもらうかですね。
Tom: そうですね。しかし、これはバイオメトリクスの話であり、2つのことがあります。1つは本当にシステムは特定の座標やメタデータを記録しているだけで、それを使って当人の指紋か顔かを判別しているのかという疑問です。もう1つは、もちろん人が成長したり、年を取ったり、顔つきが変わったり、病気になったり、体重が増減すると、すべてのアルゴリズムと閾値が更新されるということです。
ハッカーがこれらのシステムに手を加えようとするときにやりたいことは、システムが受け入れられる最低の閾値を見つけて、その統計や数字を操作するとができるかどうかを確かめることです。つまり、見かけとは異なり、実際は数字のゲームなのです。
繰り返しにはなりますが、これは、もちろん、システムがこれらの情報だけを記録していればの話です。そして、これこそが透明性を必要とする所以です。なぜなら、「バイオメトリクスを導入しよう」という解決策は、自分が考えているよりもはるかに大きな問題を引き起こす可能性があるからです。
なるほど。。
Vic: 多くの人がバイオメトリクスシステムを信用し過ぎていると思います。映画で眼球をスキャンするシーンがよく出てくるのでとても安全だと思っているのではないでしょうか。バイオメトリクスはちょっとした流行語になっています。人々は、それが非常に安全だと思い込んでいるだけなのです。
たとえば、Amazonでバイオメトリクスロックを検索すると、指紋でロックを解除すると謳った、かなり安価なバイオメトリクスロックが何ページにもわたって表示されます。それらのレビューを見てみると、「買ってみたが、誰の指紋でも解除されることがわかった。使えないがらくただ。」などと書かれたものもあります。
しかし、自分でテストしていない人やレビューを見ていない人は、「バイオメトリクスロックは普通の鍵よりもはるかに安全に違いない。」と考えるでしょう。なぜなら、自分で鍵を開けることができるのは事実で、そのことだけに気が向いているからです。
そのため、Amazonで販売されている安価なバイオメトリクスシステムを不適切に使用して、保護しているつもりになっていても、実際にはシステムのセキュリティについて十分な情報を得た上で判断することができなくなっている可能性があるのです。
それは良い指摘ですね。最も一般的な指紋や顔認証以外にも、私たちを識別し、認証するために利用できる身体的および行動的な特徴は数多くあると思われますが、それらは具体的にどのようなものですか?
Vic: さまざまな手法があります。基本的に、人間を数値化できる手法はすべてバイオメトリクスに利用できるからです。物理的なバイオメトリクスには、非常に多くの種類がありますが、中には他のものと組み合わせて使うものもあります。
たとえば、パームバイオメトリクスでは手のひらを調べます。手のひらには指紋と同じように固有の掌紋がありますが、さらに多くの静脈があり、その位置も固有であると考えられています。そこで、手のひらの掌紋をスキャンし、静脈を調べ、その2つを組み合わせることでさらなるセキュリティ層を構築するシステムができます。
カメラシステムがますます高性能・高解像度になるにつれて、バイオメトリクスシステムの中には、従来考えられていた顔認識の代わりに毛穴を見るもの登場しました。その人の毛穴をマッピングすることで、顔の画像に加えてセキュリティ層を追加するのです。
行動バイオメトリクスに関しては、奇抜なものが数多くあります。例えば、テレフォンバンキングシステムでは、音声バイオメトリクスを使用することがあります。利用者には音声バイオメトリクスを使用していることを通知しないかもしれませんが、自動的に行なうことでセキュリティ層が追加されます。
また、キーストロークバイオメトリクスのように、パスワードを入力する際のキーストロークのリズムを調べて、それをパスワードに認証層として追加して使うシステムもあります。なぜなら理論的には、もし誰かがパスワードを盗んだとしても、本人と同じリズムではタイプしないはずだからです。ただし、今では誰もがパスワードをコピーペーストするようになり、パスワードマネージャを使うようになったので、キーストロークバイオメトリクスは衰退していると思われます。
誰もがパスワードマネージャを使っているとは思いませんが?
Vic: そうですね。でも使うべきでしょうね。とても管理が楽になりますから。
先ほど面白いことをおっしゃいましたね。一部の認証システムは、ユーザは知らずに使用しているということでした。ジャストインタイム認証という言葉を聞いたことがありますが、これはユーザの行動によって認証レベルを変えるというものだと思います。たとえば、ユーザとやりとりしなくても、ちょっとしたセキュリティチェックを加えることができる方法として、ユーザのキーストロークのリズムを1分間モニターすることが考えられます。この点については、どう思いますか?
Vic: それはアクセスしようとしているもののセキュリティ次第だと思います。銀行にとっては、不正行為が大きな問題になっています。他人になりすまして電話をかけたり、送金の手続きをしたり、パスワードを変更したりする不正行為です。これは大きなリスクであり、不正が行われた場合、銀行は多大なコストを負担することになります。そこで、不正行為のリスクを減らすために、できる限りのことをしたいと考えています。
そのため、音声バイオメトリクスのような、ユーザが実際に何かをする必要がなく、ただそこに座っているだけで自動的に行われるちょっとした追加機能が非常に魅力的なのです。これは、たとえ一握りの詐欺事件を阻止するだけでも、銀行にとっては勝利だからです。
それでは、指紋認証や顔認証以外に、今後有力になると思われる魅力的な認証方法はありますか?
Tom: 将来的には、数年前に有望視されたウェアラブルがようやく実現すると思います。私には、それが最も抵抗の少ない方法のように思えます。すでに多くの人々が、Fitbit、Apple Watch、Android Watchを手首に付けています。足首ではなく手首に付けるもののほうが望ましいですね。
それが抵抗感の最も少ない方法だと思います。Vicが言ったように、心拍数などの身体的特徴や、「追加要素で判断すると、この人は間違いなくこのデバイスの正式な装着者です。」と言えるような相関関係を持つ他の要素を導入することになります。そうすれば、どのようなサービスに対しても認証を行うことができます。
Vic: しかし、そのデータに関連したあらゆるプライバシー問題に直面することになります。誰かが符号化された指紋を盗むことができたとしても、それほど大騒ぎすることではありません。しかし、たとえば、さまざまな時間帯におけるGPS位置情報と、その場所にいるときの心拍数に基づいた感情などのデータを盗むことができれば、かなりひどいことができるでしょう。
なるほど。それは実装の仕方にもよると思います。今、私はスマートフォンで利用するさまざまなサービスに指紋認証を使っていますが、Appleが私の指紋をどこかに送信しているとは思えません。スマートフォンが私を識別し、これらのサービスに「この人を正当なユーザとして識別しました。」と伝えているのでしょう。
Tom: どのような認証方法でもそうですが、何に対して認証しているのかは常に注意しなければなりません。なぜなら、認証の対象となるのはAppleの公式システムの場合もあれば、この種の技術が統合されている別のシステムの場合もあるからです。
自分が認証している対象は本物であり、フィッシングバージョンではないことを十分に確認する必要があります。フィッシングは常にこの種のシナリオを敏感に捉えているからです。
その通りですね。 Vicは、さらに奇抜なバイオメトリクスの手法も研究していますが、その中で特に実現可能と思われるものがあれば教えてください。それとも、それらはすべて単なるギミックや奇妙なものなのでしょうか?
Vic: それらのうちのいくつかは、かなり正確に人間を識別するために使用できるという点で、正当なものです。しかし、その使用を望むかどうかは別問題です。
たとえば人間の舌です。舌にはたくさんのパターンがあります。舌の形には多くの偏差があり、実際にかなりの精度で人間を識別することができます。しかし、特にコロナ禍の最中では、システムを認証するために舌を出したいと思う人はいないでしょう。技術的には使えても、現実としてそんなことをしたいと思うでしょうか?
奇妙なものに関して言うと、基本的にあらゆるものを調べてきました。尻紋を調べてインテリジェントトイレを作るという研究があります。トイレに残ったものを自動的に分析して、現在の健康状態を把握し、栄養学的な提案をします。この研究の調査対象集団を尻紋で区別することができます。でもそんなことをする必要があるのでしょうか?
その研究でわかったことは、スマートトイレの水洗ハンドルに指紋認証装置が付いていれば良いと言うことでした。それを使えば良かったのです。
(笑)なるほど。それでは、現状の消費者向けバイオメトリクスシステムは、機密データへのアクセスを提供するシングルサインオンシステムと同じくらい安全だと思いますか?
Tom: 同じくらい安全である必要はないと思います。必要十分な性能があれば良いのです。そして、前にも述べたように、多層にすることが一番効果的です。
この業界がバイオメトリクスを求めているのには理由があるのです。それは、ユーザを製品や技術に引き付けるためです。なぜならユーザーは製品やサービスを利用するために余分なものを使う必要がないので、その製品や技術にすぐ集中できるからです。
古いパラダイムでは、あなた自身の何か、あなたが持っている何か、あなたが知っている何かを使いました。しかし、あなたがセキュリティに長く関わっていると、それが実際には、あなたが忘れた何かであり、失った何かになってしまうことがわかったのです。大手企業は、自社のサービスが十分に安全であることをあなたに納得させる方法として、バイオメトリクスを使用しています。もちろん手間もかかりません。
しかし、当然ながらそれには代償が伴います。なぜなら、認識漏れと誤認識の間にはレードオフがあるからです。そして、誤認識は認識漏れよりも問題です。なぜなら、本人以外の誰かの侵入を許してしまうからです。そのため、ベンダーは価格が2倍になる前に、スマートフォンやタブレットに入れることができる機能とその価格との間でトレードオフを行う必要があります。
だから必要十分な性能が必要なのです。Vicが言ったように、この機能は保護しようとしている対象に合わせて正しく使われなければなりません。
また、複数の制御を適切な順序で使用できる必要があります。たとえば、スマートフォンの6桁パスコードを攻撃することは困難になっています。たとえ、何らかの技術を用いて突破したとしても、指紋や顔のスキャンを必要とするバックグラウンドアプリには侵入できないでしょう。
つまり、適切な方法を適切な組み合わせで使用することで、自分が守ろうとしているものを守ることができるようにすることが求められてるのです。
Vic: 私は、消費者は使用を検討しているシステムの信頼性やセキュリティをよく理解することが重要だと考えています。Windows Helloのようなシステムでは、誤認識や認識漏れ率などのデータを公開しています。しかし、多くの消費者向け製品では、ユーザに何も教えてくれないので、ユーザはシステムが機能することと安全であることを信じるしかありません。そして、認識漏れよりも誤認識の方がはるかに問題になるシナリオでは、大きなリスクを抱える可能性があります。
私たちがこれまで、特にセキュリティに関する教育を一般消費者に行ってきた経緯を考えると、誤認識、認識漏れに関して有意義な会話ができるとは思えません。セキュリティ分野の中でも、かなり難しい話になるからです。
Tom: 私は、セキュリティ企業は、こうしたバイオメトリクス技術のメーカーが気を緩めることのないように、彼らの主張を実際に検証することが重要だと思います。指紋の複製は現実に行われています。他社と同様に当社でも実証しています。他のバイオメトリクス認証システムでも同じことが言えます。
繰り返しになりますが、これらのシステムの考え方は、攻撃のコストを高くすることです。攻撃者にとって困難で出費のかさむものにすることで、攻撃者がすべての認証システム、あるいはひとつの重要な侵入経路に手を出すことができないようにするものです。もちろん、この種の技術にリモートでの欠陥が発見されるたびにメディアは大騒ぎします。
したがって、これらの技術の使用方法について透明性を確保する必要があります。可能であれば、ユーザがこれらの技術の使用を拒否できるかどうかも知る必要があります。たとえば、海外旅行をする場合はほとんど拒否できませんね。ですから、これらのことを個別に検討した上で、まとめて見て、理にかなっているか確認する必要があります。
現実的な疑問として、バイオメトリクスが適切な解決策になる場面と、ならない場面がありますね。いつ、どのように使うべきなのでしょうか?
Vic: はい。先ほど話したシナリオに戻ると、銀行は恋人による詐欺の発生率を減らしたいと考え、本人に「私はローンを組みます」と話して録音してもらうという方法を導入しました。スマートフォンを見ることでロックを解除するシステムなどと比べて、不正行為に対して大きな効果があるので、非常に優れた利用法だと思います。悪用される可能性は極めて低くなります。
したがって、バイオメトリクスが適切なソリューションであると考えているなら、保護しようとしているものに基づいて判断する必要があると思います。また、それがより広範なセキュリティシステムにどのように適合するかも検討する必要があります。アカウントをリセットしようとしている場合などは、「私はアカウントをリセットします」と話しているビデオを使用するのが適切かもしれません。
さらに生年月日などの情報や、手順を追加することもあるでしょう。もちろん、それぞれの手順がしっかりしていればの話ですが、セキュアな認証プロセスに含まれる手順が増えるほど、システムの安全性は高まるでしょう。
Tom: 私たちは非常に幸運なことに、同意か不同意かという選択をすることができます。それは贅沢なことでもあります。世界中の誰もがそのような贅沢をできるわけではありません。
政府が人身売買を止めようとしていることを考えてみると、この10年間に戦争や経済、気候変動のせいで人々の大量移動が起こっています。世界各国の政府は、テロリストを阻止し、子供たちを救うために、国境を越えて来るすべての人々を識別できるような、ある種の「完璧なシステム」を作るという大きなプレッシャーにさらされています。誰もがこの同意・不同意の選択権を望んでいますが、憲法上の権利が損なわれたり、透明性のないデータベースに入れらるような犠牲を払うことはできません。
ですから、私は、こうした事態が発生して、大陸、国、組織に圧力がかかるときは、このような種類の技術に飛びつく前に、透明性と法的性質を管理する必要があると思います。確かに、私たちがやりたいことを実現するのに役立つはずです。繰り返しになりますが、人身売買やその類のものを阻止することです。
しかし、この技術を悪用するケースも出てくるでしょう。このポッドキャストでも言い続けているように、たとえ現在の政府に満足していても、12年後にはどのような政府になっているのか見当もつかないからです。そして、一旦手放した権利は、どのようなものでも取り戻すことは極めて難しいのです。
わかりました。消費者として、またバイオメトリクスの利用者として、私は、舌紋などはさておき、自分の顔、虹彩、指紋が使われたときに、どのような場合に疑うべきなのでしょうか?
Vic: 多くのシステムは、あなたに関するデータをできるだけ多く取得しようとします。それは、しばしば広告の目的に利用されます。もしあなたの顔写真が得らたらどうするでしょう。。。
私の場合は、ベビー用品の広告が絶え間なく送られてくる年齢になりました。実際に繰り返されるのです。ベビー用品の宣伝があって、不妊治療の宣伝があって、またベビー用品が繰り返されます。それは私の年齢と性別によるものです。そして、もし私が顔写真を、例えばショップカードを作るために提供すれば、それは広告に使える多くの興味深いデータを差し出すことになるでしょう。
私にとってはそれほど不便ではありません。それほど大きな問題ではないにしても、このシナリオでは、誰かが私の顔写真を利用して儲けようとしていることは確かです。でも、そうやって儲けるべきではないと思います。
Tomが言ったように、私のデータを渡した相手が、将来それを使って好き勝手なことをすることを止められないというリスクもあります。たとえ彼らが悪用はしないと言っても、先のことは誰にも分からないのです。
次に、バイオメトリクスを利用する企業について話しましょう。お二人ともコンサルタントとして働いていますね。多くの企業がバイオメトリクスに取り組んでいますか?そこでは、どのようなことに遭遇していますか?
Tom: モバイルデバイスやモバイル技術に関して言うと、幸いなことに、大規模なデベロッパーや企業は、iOSやAndroidなどのプラットフォームが提供する機能やAPIを再利用しています。これは良いことです。なぜなら彼らは独自のハードウェアで独自のソフトウェアを再発明しようとしているのではないからです。
しかし、中には独自のスキャナを開発し、それをモバイル技術や他のコンピュータ、プラットフォームで動作させようとする企業もあります。私たちは、そのような企業をあまり応援する気にはなりません。なぜなら、もちろん彼らは経済的な利益があることがわかった上で、Google、Microsoft、Appleのような企業が高額の資金を投じて実現したことをやり直さなければならないからです。
そのような企業が見受けられる一方で、ソフトウェアとハードウェアをテストしたいと考えている企業もあります。これが自社の要件を満たしているのか、そして何が隠されているのかを知った上で、自社を守るために必要なものは何かを確認したいのです。そして、バイオメトリクスやそれに依存する一部の機能が侵害された場合のリスクは何か、影響はどこまで及ぶか、そしてこのようなことが起こらないようにするにはどうすればよいのか?
Tom、あなたはハッカーで、侵害するのが好きですよね。バイオメトリクスの分野では何を侵害しているのですか?その方法は?個人として、どのようにこのインフラを攻撃しているのでしょうか?
Tom: 私たちは、純粋な興味から、あるいは顧客エンゲージメントの中で、これらの技術をいくつか検討してきました。実際に検討し始める最良の方法は、やはり、閾値やトレードオフの一つとして、誰かがどれだけ早くシステムを利用できるか、あるいは本人確認や認証のプロセスにどれだけ時間が必要かを確認することです。また、誤認識と認識漏れの間の閾値はどのくらいなのか?
つまり、システムやシステムのある側面をどうやって欺く方法を知りたいのです。誤認識の可能性が高くなり、システムを迂回できる可能性が高くなるかを試したいのです。
どんな形であれバイオメトリクスを導入する際には閾値があります。例えば、データセンターに入るためのドアに指紋スキャナを設置する場合、昼食後に指紋スキャナを通過しようと50人もの人が列を作ったら困ります。そうなると、人々はお互いにドアを押さえて開けたまま入るでしょう。
あるいは、システムを通過することを強制している会社において、全員が手を洗っているわけではないので、スキャナに汚れがたくさん付くと認証結果に影響が出てしまいます。そこで、スキャナが判断するか、「認識漏れと誤認識の閾値をどこに置くか」という設定を会社がする必要があります。
これが、システムをどうやって騙すかということを考える良いきっかけになるのです。同じパターンで騙すことができるか? 騙すには同時に別の行動を実行する必要があるか?このシステムはユーザの抵抗感を測定しているか?
指紋スキャナなどは、ほとんどのケースで設定が間違っています。精度が十分に高く設定されていないため、単純な写真や指紋のプリントアウトで簡単に騙せる場合もあります。時には、濡れたトイレットペーパーを使って通過できたこともあります。スキャナが混乱するからです。あるいは、指紋にガラス片が付いていると勘違いするのです。
このように、さまざまな方法で回避することができます。したがって、これまで述べてきたように、1つの制御だけに頼るべきではありません。しかし、家電製品や、誕生日のプレゼント品、あるいはショッピングモールで見つけたものに関しては、ユーザはただ説明に従って自分の最も個人的な詳細情報を守るためにその機能を使います。箱に安全と書かれているので、安全だと思い込んでしまうのです。だからこそ、私たちに、製品をテストしてメーカーに金額に見合った努力をさせようとする情熱が生まれたのだと思います。
それでは、企業がバイオメトリクスシステムの導入を検討する際に、何かアドバイスや考慮すべき点はありますか?どのような思考プロセスを踏んでもらいたいですか?
Tom: 第一に、あなたは問題を解決しようとしているわけです。セキュリティコントロールに関する問題です。したがって、どんな問題を解決しようとしているのか、ということを自問してください。さらに、管理、メンテナンス、登録、アカウントのリセット、起こりうる詐欺や不正行為のシナリオなどを考えた場合、これは本当に最も抵抗感の少ない方法なのか?拡張性があるか?このベンダーまたは技術は世界中で使用できるか?課題がある地域はないか?といったことについても考えてください。
これらの疑問はすべて、「なぜこれを行うのか?」というひとつの疑問から派生したものです。そして、なぜ私たちはバイオメトリクスが他の古典的なセキュリティ管理と呼ばれる組み合わせよりも優位性があると考えるのでしょうか?
Vic: 私が以前参加したプロジェクトのお客様は、オフィスでノートPCにログインする際、Microsoft Helloの使用に切り替えることを検討していました。それを後押ししたのは従業員でした。立ち上げるたびにパスワードを入力し直すのは面倒なので、もっと簡単にログインできるシステムを望んでいました。
バイオメトリクスは、繰り返しシステムにログインする必要がある人々の負担を軽減するのに役立ちます。しかし、それを悪用して不正にシステムにアクセスする可能性がある場合は、セキュリティ上の影響とのバランスを取る必要が生じます。
Tom: 現在のシステムを使い続けている主な理由はコストだと思います。利便性とコストのトレードオフの問題ですが、先に述べたようにAndroidスマートフォンメーカーやAppleは、バイオメトリクスでユーザを保護できるスマートフォンを製造する能力に優れています。
現状では、他人の指紋が登録者の指紋として誤認識される確率は5万分の1だと言われています。この確率をさらに下げることは可能ですが、そのためにはスマートフォンやタブレットに新技術を搭載することになり価格を引き上げる必要があります。でも誰もそのためにお金を払うつもりはないでしょう。メーカーは、独自のテストに基づいて、保護しようとしているものと照らし合わせて「十分に優れた」ものを作る必要があるのです。
バイオメトリクスについて誰もが理解すべきことなのに、理解されていないと感じることはありますか?また、バイオメトリクスに関して不満を抱いていることはありますか?
Vic: 私がカンファレンスでのプレゼンに向けて調査していたとき、BuzzFeedのクリックベイトスタイルリストでよく見かけたのが、バイオメトリクスのモダリティ(手段)としての塩分濃度でした。それらはすべて、出典を明記せずに「身体の塩分濃度を使って人を識別できる」と言っているだけでした。
私は深く掘り下げて調べてみたのですが、結局はとても奇妙な世界に入り込んでしまいました。調べた限りでは、1995年に発表された論文に由来していると考えられます。この論文は、ヨーヨーマにチェロの弓をコンピュータのマウスに見立てて使ってもらうことを目的とした前回のプロジェクトの続編でした。非常に奇妙な世界に入り込んでしまったのです。誰かがデータ転送に皮膚伝導性を使うことを提案していました。握手をすることでデータを転送できるのではないか?というようなことです。
その研究は、どこかの誰かが執筆したバイオメトリクスのモダリティに関する本に引用されたのです。バイオメトリクスにどのように利用できるかについては、具体的な数値も言及もありませんでした。ただ、リストに入れただけです。すると他の人たちも「身体の塩分濃度については、あの本に書いてあった。これはバイオメトリクスのモダリティだ。」と言って、クリックベイトのリストに加え始めたのです。
したがって、バイオメトリクスの分野では、このリストを書いている人たちは、自分たちが主張していることを検証しようとはせず、ただ「これはバイオメトリクスだ。これとあれでできる。」などと言っているだけです。これこそがバイオメトリクスの潜在的なリスクだと思います。人々はバイオメトリクスを宣伝していますが、詳細な調査はしていないのです。実は私自身も、ポッドキャストでバイオメトリクスについて話すときに出典を明確にしていないのですが、受け入れていただき感謝しています。人々がバイオメトリクスの安全性やモダリティの実行可能性について不正確な見識を持ってしまう原因の一端は、実際に自分で調査をして統計データを確認することなく、自分や他人がリストを一度読んだだけで何もしないことだと思います。
「顔認識が間違える可能性は10億分の1に過ぎない。」と書かれたリストを読めば、それは企業にとって潜在的な脅威になると思います。大げさな宣伝文句を見れば、「これはすごい。私も欲しい」と思うでしょう。その結果、他人にアクセスされるリスクが高く、セキュリティが不十分だったり、顔写真を見せるだけで簡単に騙されてしまったりと、自分のニーズに合わないシステムを手にしてしまうことになるのです。バイオメトリクスシステムを使用して重大なセキュリティ上の決定を下す場合は、もっと事前の詳細な調査を行うべきです。
これは一般的に、実に良いアドバイスだと思います。本日は、ご参加くださりありがとうございました。大いに参考になりました。感謝します。
Tom: ありがとうございました。
Vic: お招きいただきありがとうございました。
それでは今日のポッドキャストを終わります。お楽しみ頂けましたら幸いです。Twitterのハッシュタグ#CyberSaunaで、ご質問やご意見をお寄せください。ご清聴ありがとうございました。ポッドキャストに登録していることを確認してください。
カテゴリ