Biometric Data: Increased Security and Risks
近年、バイオメトリクスの利用が爆発的に増えており、すでにバイオメトリクス認証技術の利用が可能な状況も多岐に渡っています。 ユーザビリティは非常に関連性の高い要素です。 もうひとつは、プライバシーです。 広範な中央集権的個人データベースを作る可能性には、当然ながら反対意見もあります。 企業は、従業員や顧客のプライバシー侵害や機密情報の不適切な露出を防ぐため、バイオメトリクス認証システムの導入方法について注意する必要があります。 結局のところ、古いパスワードが漏洩したときに新しいパスワードを発行するのは簡単ですが、誰かに新しい外観を与えることは不可能です。
生体認証では、人間の身体または行動の特徴を使用して、システム、デバイス、またはデータへのアクセスを許可するために個人をデジタル的に識別します。 このようなバイオメトリクス識別子の例としては、指紋、顔のパターン、音声、またはタイピング・ケイデンスなどがあります。 これらの識別子は、それぞれ個人に固有であると考えられ、ユーザーをより正確に識別するために他の認証手段と組み合わせることができる。 バイオメトリクスは、個人の認証に合理的なレベルの信頼性を与えることができるため、セキュリティを飛躍的に向上させる可能性を秘めている。 コンピューターやデバイスは、認証されたユーザーの指紋を検出すると自動的にロックを解除することができます。 サーバールームの扉は、信頼できるシステム管理者の顔を認識すると開くことができる。 ヘルプデスクのシステムは、ヘルプラインで従業員の声を認識すると、すべての関連情報を自動的に抽出できます。
ほとんどの企業は、オンプレミスに保存されている ID データを保護するために、バイオメトリクス認証を「有効」または「非常に有効」と分類し、パブリック クラウドに保存されているデータの保護に有効であると主張します。
- バイオメトリクスの種類
- More Common Approaches
- バイオメトリクス認証の信頼性は?
- バイオメトリクス認証におけるプライバシー リスクとは?
- バイオメトリクス認証はどのくらい安全かパスワードのセキュリティ以上に、バイオメトリクス認証データのセキュリティは極めて重要です。 しかし、指紋や網膜のスキャンは不変です。 このような生体情報の漏洩は、ユーザーを永久的な危険にさらし、データを紛失した企業には大きな法的責任が生じます。 指紋のような物理的な割り当ては交換できないため、情報漏洩が発生した場合、莫大な問題が生じます。 また、バイオメトリックデータが不正な団体の手に渡ることは、非常に恐ろしいことですが、現実的な意味を持っています。
- Local or Device-Based Authentication
- トークン化または暗号化
バイオメトリクスの種類
バイオメトリクス識別子は、人間の本質的な特性に関連するものである。 物理的な識別子と行動的な識別子の2つのカテゴリに分類されます。 物理的な識別子は、ほとんどの場合、不変であり、デバイスに依存しない。 例えば、
- Fingerprints
Fingerprint scannersは、近年スマートフォンに広く搭載され、どこにでもあるような存在になっています。 電話の画面、コンピューターのマウスやタッチパッド、ドアのパネルなど、触れることのできるあらゆるデバイスは、簡単で便利な指紋スキャナーになる可能性を秘めています。 Spiceworksによると、指紋スキャンはバイオメトリクス認証の最も一般的なタイプです。
- 写真とビデオ
カメラが搭載されているデバイスであれば、簡単に認証に使用することが可能です。 顔認証と網膜検査が一般的なアプローチです。
- Physiological Recognition
顔認証は3番目に多い認証タイプです。 他の画像ベースの認証方法には、手の形状認識、虹彩または網膜の読み取り、手のひら静脈認識、および耳認識があります。
- 音声
音声ベースのデジタルアシスタントや電話ベースのサービスポータルは、ユーザーの識別や顧客の認証にすでに音声認識を使用しています。
- Subscription
デジタル署名スキャナーは、小売店や銀行ですでに一般的に使用されており、ユーザーや顧客がすでに自分の名前に署名することを期待している状況には良い選択肢です。
- DNA
今日、DNA テストは主に法執行機関で容疑者を識別するために使用されています。 実際には、DNA の塩基配列の決定には時間がかかりすぎるため、広く使用されるには至っていません。 これは変わり始めています。 1022>
More Common Approaches
Behavioral identifiers はより新しいアプローチで、一般に、信頼性が低いため、別の方法と組み合わせて使用されています。 しかし、技術の向上により、これらの行動識別子の用途が拡大する可能性がある。 人間の特徴のある固定セットに制限される物理的な識別子とは異なり、行動識別子には人間の想像力しかありません。
今日、このアプローチは人間とロボットを区別するためによく使用されています。 これは、企業がスパムをフィルタリングしたり、ログインやパスワードに対するブルート フォースの試みを検出したりするのに役立ちます。 技術が向上するにつれて、システムは個人の正確な識別を改善する可能性がありますが、人間とロボットを区別することについては依然としてあまり効果的ではありません。 以下は、一般的なアプローチです。
- Typing Patterns
人によって、タイピング スタイルはさまざまです。
- Physical Movements
人の歩き方は個人に固有で、建物内の従業員の認証や、特に機密性の高い場所の二次認証レイヤーとして使用することができます。
- Navigation Standards
トラックパッドやタッチ スクリーンでのマウスの動きや指の動きは個人に固有で、追加のハードウェアは必要なく、ソフトウェアで比較的簡単に検出することが可能です。 アプリを開いて使用する方法、デバイスを最も使用する場所や時間帯、Web サイトの閲覧方法、携帯電話を持つときの傾き、あるいはソーシャル ネットワークのアカウントをチェックする頻度など、すべて潜在的にユニークな行動特性です。 今日、これらの行動パターンは、人とボットを区別するために使用することができます。
バイオメトリクス認証の信頼性は?
指紋スキャンや音声記録などの認証情報は、デバイス、企業サーバー、または解析に使用するソフトウェアから漏れる可能性があります。 また、誤検出や誤判定の可能性も高くなります。 顔認識システムは、化粧や眼鏡をかけたユーザーや、病気や疲れのあるユーザーを認識できないことがあります。 また、声も異なります。
人は、目覚めたとき、混雑した公共の場で電話を使おうとしたとき、怒っているとき、焦っているときなど、さまざまな表情を見せてくれます。 認識システムは、マスク、写真、音声記録、指紋のコピーで騙されたり、正当なユーザーが眠っているときに家族や信頼できる同僚によって騙されたりします。
専門家は、企業が複数のタイプの認証を同時に使用し、詐欺を見たら急速に増やすことを推奨しています。 たとえば、指紋は一致するが顔が一致しない場合、あるいはいつもと違う時間にいつもと違う場所からアカウントにアクセスしている場合、バックアップの認証方法や第2の通信チャネルに切り替える時期が来ているかもしれません。
バイオメトリクス認証におけるプライバシー リスクとは?
ユーザーの中には、企業が時間帯や普段携帯電話を使用している場所などのデータを収集することを望まない人もいるかもしれません。 その情報が漏れた場合、ストーカーや、有名人の場合はタブロイド紙の記者に利用される可能性があります。 また、家族や配偶者に自分の居場所を知られたくないユーザーもいるでしょう。
情報は、抑圧的な政府体制や境界線を越える犯罪検察によって悪用される可能性もあります。 外国の権力者は、世論に影響を与えようとして、情報を利用することができます。
これらの状況のいずれもが、データを収集した企業にとって大きな社会的恥辱、規制当局による罰金、または集団訴訟につながる可能性があります。
バイオメトリクス認証はどのくらい安全かパスワードのセキュリティ以上に、バイオメトリクス認証データのセキュリティは極めて重要です。 しかし、指紋や網膜のスキャンは不変です。 このような生体情報の漏洩は、ユーザーを永久的な危険にさらし、データを紛失した企業には大きな法的責任が生じます。 指紋のような物理的な割り当ては交換できないため、情報漏洩が発生した場合、莫大な問題が生じます。 また、バイオメトリックデータが不正な団体の手に渡ることは、非常に恐ろしいことですが、現実的な意味を持っています。
結局のところ、すべての企業が独自のセキュリティ判断に責任を負っています。 コンプライアンスを外注することはできませんが、適切なサプライヤーを選択することで、コンプライアンスにかかるコストや漏洩した場合に起こりうる影響を軽減することは可能です。 さらに、登録されたクレデンシャルを維持しない企業には、いくつかの法的保護があります。 例えば、多くの小売業者は、自社のシステムを「対象外」とすることで、多額のコンプライアンスコストを回避することができる。 決済情報は、決済端末で直接暗号化され、決済処理業者に直接渡される。 生のペイメントカードデータが会社のサーバーに触れることはなく、コンプライアンスへの影響と考えられるセキュリティリスクを軽減します。
企業が認証情報を収集して自社のサーバーに保存する必要がある場合、セキュリティのベストプラクティスを適用する必要があります。 これには、静止中のデータおよび転送中のデータの暗号化が含まれます。 新しい技術として、使用中であってもデータを暗号化したままにしておくランタイム暗号化があります。 もちろん、データへのアクセスを許可されたアプリケーションやユーザーが危険にさらされた場合、暗号化は絶対的なセキュリティの保証にはならない。
Local or Device-Based Authentication
Local 認証メカニズムの最も一般的な例は、スマートフォンのハードウェア セキュリティ モジュールです。 指紋スキャン、顔画像、音声インプレッションなどのユーザー情報は、モジュール内部に保存されます。 認証が必要な場合、指紋リーダーやカメラ、マイクで生体情報を収集し、モジュールに送信して、オリジナルと比較する。 そして、その情報がすでに保存されている情報と一致するかどうかが、モジュールから携帯電話に伝えられる。 この方式では、携帯電話のオペレーティングシステムを含むモジュール外のソフトウェアやシステムから、生の生体情報にアクセスすることはできない。
企業は、ユーザーや顧客がスマートフォンにアクセスするたびに、スマートフォンを使った生体認証リーダーを使用することができ、生体認証情報を自社のサーバーに収集・保存する必要がありません。 同様の技術は、スマートカード、スマートロック、PC用指紋スキャナーなど、他の種類のデバイスにも利用可能です。 携帯電話による指紋認証は、現在最も一般的なバイオメトリクス認証メカニズムである。 スマートフォンベースの認証は、ユーザビリティに大きな利点をもたらします。 まず、スマートフォンを紛失した場合、ユーザーはすぐに気が付き、すぐに探したり、交換したりすることができる傾向にある。 しかし、勤務時間外にしか使用しないバッジを紛失した場合、しばらくは手元にないことに気づかない可能性がある。 スマートフォンのメーカーも、より良いもの、より使いやすいものを求めて競争の真っ只中にいます。 携帯電話への投資規模や、携帯電話が受けるユーザビリティやセキュリティのテストに匹敵する業界や企業は他にありません。
最後に、電話認証はユーザーに最大限の柔軟性を提供します。 顔認証、指紋スキャナー、音声認識、あるいはまだ発明されていないが、明日には市場を席巻するであろう他の新技術を搭載した電話を選ぶことができる。 しかし、民生用スマートフォンのようなサードパーティーの仕組みを利用することで、認証プロセスは企業のコントロールの及ばないところに置かれることになる。 また、一般的にデバイスベースの認証の欠点は、ID情報がその単一のデバイスに限定されることである。 複数の場所で複数のデバイス上のユーザーまたはクライアントを認証する必要がある企業は、認証 認証情報を格納する、またはユーザーが常に携帯するデバイスを利用するための何らかの集中化されたメカニズ ムを持つ必要がある。 例えば、社員がオフィスで使用するスマートシールの中に認証機構を設置することができます。 また、スマートフォンを使用して従業員を認証し、Bluetooth、NFC、Wi-Fi、またはインターネットを介して他のデバイスやシステムに ID 認証を伝達することもできます。
トークン化または暗号化
新しいデバイスで認証されたユーザーの認識を可能にする別のアプローチとして、トークン化、一方向暗号化、またはハッシュ関数が挙げられます。 たとえば、網膜、音声、または指紋による識別を使用して、従業員が会社内のどこに行っても認識および認証できますが、会社は、ハッカーや悪意のある従業員が悪用する可能性のあるサーバーに画像や音声ファイルを保存させたくありません。 同じ変換方法を使用するデバイスは、その従業員を認識することができ、生の識別データはどのシステムでも利用することができません。