情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

4.認証 > 4.4 生体認証

生態認証ではなく、生体認証。
生態とは、生きている様を表した言葉で、生体は体そのものを指す。
dcf52feb


生体認証よりも、ICカードなど所有物認証の方が
サービス提供側は簡単ではないのでしょうか。



それはそう。生体認証をするための指紋認証装置や静脈認証の装置は割高だし、登録にも手間がかかるからね。
それでも、生体認証にはメリットがある。それは以下である。
①セキュリティが高い
②盗まれにくい
③覚える必要がない。(運用が簡単)

パスワードは簡単に盗まれる可能性がある。これに対し、指紋は盗まれにくい。パスワードは、「定期的に変更しろ、複雑なものにしろ」との要求が強くなっており、結局画面にはったり、文書化して保存することも多い。これでは本末転倒。
 生体認証の最大の強みは、ICカードなどと違って、貸し借りができないことである。ただ、なりすましが無理かというと、100%そうとも言い切れない。人工模造物によるなりすましのリスクもある。

話が変わるが、「挑む力 世界一を獲った富士通の流儀」(日経BP社)には、静脈認証の効果について、「ブラジルでは年金を受け取るために、1年に1回、受給口座のある銀行に出向いて「生きています」という証明をしなければならない。だが、ATMの手のひら静脈認証をパスした人は、生存が証明でき、この手続きが不要になった」とも述べられている。こんな効果もあったようだ。


生体認証には様々な種類がある。
たとえば、以下。

指紋認証
 人間の指紋だけでなく、猫の肉球でも認証できたようだ。
 指紋は薄い人がいることや、表にでるから偽造しやすいこと、誤検知と見逃しも多いことから、静脈が推奨である。

静脈パターン認証

虹彩認証
 正式名称ではないが、目には俗に言う白目と黒目がある。この黒目の中で、中心部分が瞳孔、その周りが虹彩である。

声紋認証

顔認証

網膜認証
db2fc28c

顔認証はUSJで採用されていますよね。
たしか、NEC製だったと思います。



過去問を解いてみよう。
問50 バイオメトリクス認証に使われるもので,小型光学式センサや薄型静電式センサから入力した画像を,特徴点抽出方式やパターンマッチングによって照合するものはどれか。
ア 虹(こう)彩
イ 指紋
ウ 声紋
エ 網膜 (H18秋AD午前問50)
種類はたくさんあれど、設問で問われるのはオーソドックスなのもばかりかもしれない。
正解は、イ

もう一問。
問68 生体認証の仕組みとして,静脈パターンを利用するものはどれか。
ア 顔認証
イ 虹(こう)彩認証
ウ 声紋認証
エ 掌(てのひら)認証 (H23春IP)
正解は、エ

IPAのサイトには、以下の記述がある。
http://www.ipa.go.jp/files/000013804.pdf

1.1.生体認証(バイオメトリクス)とは
生体認証とは、人の生体的な特徴・特性を用いて行う本人認証方式である。
生体的な特徴・特性を総称して生体情報と呼ぶ。生体情報には、指紋や顔など身体的外観に基づく身体的特徴と、音声や署名など行動特性に基づく行動的特徴がある。身体的特徴は、常に本人の肉体に付随している。行動的特徴は、本人の癖であり、本人であれば再現が可能なものである。

過去問(H27FE春午前問41)をみてみよう。

問41 バイオメトリクス認証には,身体的特徴を抽出して認証する方式と行動的特徴を抽出して認証する方式がある。行動的特徴を用いているものはどれか。
ア 血管の分岐点の分岐角度や分岐点間の長さから特徴を抽出して認証する。
イ 署名するときの速度や筆圧から特徴を抽出して認証する。
ウ 瞳孔から外側に向かって発生するカオス状のしわの特徴を抽出して認証する。
エ 隆線によって形作られる紋様からマニューシヤと呼ばれる特徴点を抽出して認証する。

選択肢は以下を示している。
ア:静脈認証
イ:サイン認証
ウ:虹彩認証
エ:指紋認証

行動的特徴を用いているのは、サイン認証である。

問43 生体認証システムを導入するときに考慮すべき点として、最も適切なものはどれか。
ア システムを誤作動させるデータを無害化する機能をもつライブラリを使用する。
イ パターンファイルの頻繁な更新だけでなく,ヒューリスティックなど別の手段を組み合わせる。
ウ 本人のディジタル証明書を信頼できる第三者機関に発行してもらう。
エ 本人を誤って拒否する確率と他人を誤って許可する確率の双方を勘案して装置を調整する。(H21春FE午前)
過去問(H20春FE午前64)に、生体認証(バイオメトリクス認証)の判定しきい値に関する表現がある。FRR(本人拒否率)とFAR(他人受入率)である。
両者の関係は、「FRRを減少させると、FARは増大する」であり、トレードオフである。

本人拒否率(FRR:False Rejection Rate)
 本人拒否率とは、言葉の通り,(正しい)本人を誤って(False)拒否する(Rejection)確率(Rate)です。

他人受入率(FAR:False Acceptance Rate)
 他人受入率とは、他人を誤って(False)受け入れてしまう(Acceptance)確率(Rate)です。

 大阪にあるUSJでは、年間パスを持っているかどうかを顔認証システムで判断します。この、顔認証システムを例にしますと、本人がメガネをかけたり、太ったり、疲れていたりするなどして顔の表情が変わったとします。そんな場合に、本人であっても認証が拒否される確率がFRR(本人拒否率)です。一方、双子の妹など、本人以外が認証に成功するのが、FAR(他人受入率)です。
far
本人拒否率を高くすると、本人なのに入室できないという問題が発生する可能性がある。逆に本人拒否率を低くすると、これは認証の許容範囲を広げることになるので、他人受入率が上がってしまう。そうなるとセキュリティが弱くなる。

過去問にて、生体認証の本人拒否率と他人受入率に関する記述があるので引用する。
入退室管理システムは、勤怠管理システムなどとは異なり、なりすまし防止が重要なことから、安全性要件としては、本人拒否率を低くすることよりも、他人受入率を低くすることを優先する必要があります。
(H20SU午後Ⅰ問3より引用)
11d7b807
本人拒否率と他人受入率ですか…
ということは、本人受入率と他人拒否率もありますね。
なんだかややこしい。



用語として本人受入率と他人拒否率は無い。
覚えにくいのであるが、FRR(False Rejection Rate)もFAR(False Acceptance
Rate)もどちらもFalse(間違い)の字が入っている。つまり、間違える率を気にしているのだ。本人は受け入れて正解、他人は拒否して正解、だから、本人受入率と他人拒否率という言葉は使わない。
こう考えてもらうと、覚えやすいのではないか。

さて、この問題の正解はエである。

一度なりすましをされると、パスワードと違って指紋を変更することが難しいという欠点もある。
それと、指紋登録時に、第三者が不正に登録される可能性がある。指紋を偽造するより、ソーシャルエンジニアリングにて手続きを偽造するほうが簡単だからだ。だから、指紋登録時には、複数人の立会にて慎重にセキュリティチェックをする必要がある。
 また、指紋は認証情報が表面に出る。そうならいような生体認証である静脈認証や虹彩認証の活用も少しずつ増えている。

生体認証における「なりすまし対策」として、過去問に例が載っているので紹介します。

1.なりすまし攻撃への対策
 ・指紋の登録に際し、登録者本人であることを社員証などで確認する。
 ・センサの生態検知機能によって、人工模造物による登録及び認証を防止する。
 ・登録された指紋データから指紋を推測できないデータ登録方式を採用し、登録者の指紋データを保護する。
 ・本人の登録操作に立会者を置き、本人以外の指紋登録を防止する。
図1 なりすましや誤作動誘発の防止対策 (H20SU午後1問3より引用)

このページのトップヘ