生体認証はなぜ駄目なのか
こんにちは、丸山満彦です。最近、銀行のキャッシュカードの偽造問題を受け、本人確認手段としてパスワードに代えて「生体情報」を利用するのがはやりのようですが、この点について夏井先生からコメントをいただいています。
夏井先生のコメントを長いですが、引用させていただきます。
最近,「生体認証はなぜ駄目なのか?」という質問をよく受けるようになってきました。
「駄目です。」
その理由は,東洋経済3月5日号に六川浩明弁護士が「生体情報は漏洩されて第三者にコピーされてしまうと預金者は外科手術を受けて静脈配列等を変えない限り二度と当該生体認証を使用できなくなる。」「また、全国すべての金融機関がある特定の生体認証方法を採用すると、その情報を第三者にコピーされてしまった預金者は、預金をする方法が日本国内になくなってしまう」と述べているところと同じです。掌の静脈配列なら手術で修正可能かもしれませんが指紋や虹彩の形状を修正・変更する方法は現在のところありません。DNAに至っては全く修正不可能です(死んでしまう。)。しかも,仮に手術で修正可能だとしても,手術の痕跡を消してしまう整形手術等を含めた費用や手術のために要した休業補償等を当該金融機関等が支払ってくれる可能性なんてゼロじゃないでしょうか。
また,生体認証と言っても,要するに,認証のための対照データはデジタルコード化された符号として処理されるのでコピー可能だし偽造も可能です。
こんなことを説明すると,たいてい,「暗号化しているから大丈夫じゃないか」という反論が返ってきます。
しかし,金融機関等に内通者が一人でもいれば暗号なんて意味ないんですよ。
ごく限られた分野で非常に少ない人間だけが関与してシステムを管理している場合にはあまり問題が発生しないかもしれませんが,暗号技術や生体認証技術等が一般的な技術として普及すると,世間一般に存在しているのと同じ確率で内部から犯罪者が出ることになっていきそうですね。
だから,暗号技術は一般的に普及させ誰でも使えるようにしちゃ駄目なんです。
日本の金融機関全部で生体認証技術を導入するのは,あまりに馬鹿げたことですね。
キャッシュカード(デビットカード)の偽造はなくなることがないと思いますが,今後とも一定割合で詐欺や偽造が発生することを甘受し,損害保険でカバーするのが最も柔軟な対応だろうと思います。
なお,警察がより迅速・適切に捜査を遂げ,犯罪者を逮捕できるように全精力を傾けるべきことも当然のことです。
以前、私はあるセミナーで、次のような趣旨の発言をしたことがあります。
生体認証情報といっても、ハッシュ化されたようなデータなので、そんなに心配することはないのではないか?
しかし、セコムの松本研究員や筑波大学の新保助教授に指摘されちょっと考え方を変えています。生体認証についての問題は、皆さんご指摘のとおり、「生体情報は変更が困難である」ことですね。一度、盗まれると取り返しがつかない。
この問題について、生体認証の技術面でお詳しい方の反論?をお待ちしています。
ちなみに、「ChoicePoint事件の余波」でも書いていますが、アメリカの社会福祉番号(Social Security Number : SSN)は変更ができないので、一度盗まれてしまうと結構大変のようです。
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
丸山 様
おはようございます。
> ハッシュ化されたようなデータなので、そんなに心配することはないのではないか?
これは,どこでも耳にする意見ですね。特に技術系の方がそうおっしゃる。
しかし,情報セキュリティの基本にたちもどって考えてみる必要がありますね。
つまり,「どんな防御方法も必ずいつか破られることを前提に対策を考える」ということが大事です。
これを生体認証にあてはめてみると,「対照データとアルゴリズムがいつか必ず盗まれる日が来る」ということを前提に認証技術を開発・運用・再検討しなさい,ということになると思います。
そして,生体認証の一番の問題は,アルゴリズムをどんなに変更してみても,過去に盗まれたアルゴリズムに基づいて復元された対照データの情報が流通してしまうと,どうやっても効果的な生体認証システムを二度と構築できなくなってしまうという点にあります。
それだけではなく,流出したデータは当然に警察の手にも渡っていくでしょうから(裁判所から没収を命ぜられた凶器等でも没収手続の後に破棄せず参考資料として保存されているものが現実にかなり多数存在するという事実から推論すると,捜査資料や証拠として押収したデータでも参考資料として抹消しないで保存しておくことが十分に考えられる。しかも,警察は,捜査の必要上から,解読のためのアルゴリズムを常に知っていると考えたほうが良い。),何も立法化していないのに自動的に指紋押捺を全国民に強制したのと同じような感じの社会になってしまうと思います。そうならないためには,そもそも指紋データや静脈パターンデータを存在させなければ良いわけです。
なお,技術的な安全性の点について補足します。例えば,指紋を例にとると,イメージ全体をハッシュ化して対照データとするやり方や10個~20個程度の特徴あるポイントのデータをベクトルデータとして保存するやり方などいろんなやり方があります。しかし,これらはいずれもデジタルデータですので,データ化するためのアルゴリズムが一度でも盗まれてしまうと同じアルゴリズムを用いているシステムである限り,そこに保存されているデータのすべてが解読可能になり,偽造に利用可能になるという問題があります。
しかも,内通者や内部犯行者の出現あるいは過誤による流出といった人間系の脆弱性を完全に阻止する方法は一つしか存在しません。つまり,全人類を絶滅させるという方法です。これならシステムにトラブルを発生させる要因としての人間が存在しないのでリスク要素を消滅させたことになります。しかし,そのような対策を講ずることがあり得ない以上,人間系の脆弱性は存続し続ける。つまり,確率論としては,いつか必ず盗まれてしまうわけです。しかも,確率論は発生時期を教えてくれるものではないので,そのような事故がいつ起きるのか予測できない。10年後かもしれないし明日かもしれません。
この問題は,IDとパスワードでも基本的には全く同じなのですが,そのような脆弱性をカバーするために,IDとパスワードを一定期間毎に変更するということが奨励されているわけです。変更してしまえば,盗まれても被害を最小限に抑えることができます。
ところが,生体データは,原則として,変更ができない。
つまり,かなり脆弱だということになりますね。
個人識別のための構成要素として変更が不可能または非常に困難だという点からすると,生体認証は,非常に優れたものだと思います。
しかし,その優位点は,まさに「個人識別」の確実性にあるのであって,システムそれ自体の「安全性」にあるのではないという誰でも理解できる自明のことを明確に認識すべきだと思います。
Posted by: 夏井高人 | 2005.03.06 07:57
夏井先生、コメントありがとうございます。実は、セコムの松本さんや新保さんに指摘され、自分の考えの浅さに気づきました。
「個人識別」の確実性にあるのであって,システムそれ自体の「安全性」にあるのではないという誰でも理解できる自明のことを明確に認識すべきだと思います。
というのは、まさにその通りですね。でも、夏井先生のご指摘の通り、生体認証システムの生体データとアルゴリズムが明らかになった場合に、「個人識別が確実」という話もなくなりますね。
Posted by: 丸山満彦 | 2005.03.06 12:20
丸山 様
夏井です。
> でも、夏井先生のご指摘の通り、生態認証システムの生態データとアルゴリズムが明らかになった場合に、「個人識別が確実」という話もなくなりますね。
そうなんですよ。
1個でもアルゴリズムとデータが盗まれてしまうと,偽物データも本物データも完全に一致していますので,そのデータを固体識別要素とする個人が常に「本人か偽者か分からない状態」に置かれることになります。つまり,その生体要素によって識別可能なすべてのシステムから排除されてしまうことになるわけです。映画『インターネット』で描かれているようなことが内部データを一切いじることなく実現できてしまうわけですね。これって,かなり脆弱なことだと思いませんか?
いずれにせよ,生体認証における「確実性」とは,正確には,「アルゴリズムとデータを盗まれない限り」という条件付の確実性であることになります。
そして,「絶対に盗まれない」という保証など誰にもできない以上,「安全ではない」という結論が自動的に導出されることになるわけです(この論理を理解できず納得もできない人は,相当に頭の悪い人であるかまたは非常に邪悪な人であるかのいずれかだと強く推定して構わないと思います。)。
ちょっと辛口発言が続きますが,あまりに愚鈍な人や厚顔無恥な人が多すぎると思ってしまう出来事が多かったので,あえて発言させていただきました。
Posted by: 夏井高人 | 2005.03.06 14:01
丸山先生、夏井先生
おつかれさまです。
生体認証のケースに限らず、暗号化の安全性をめぐるこの手の議論は、あちこちで堂々めぐりを招いていますね。(;
アルゴリズムの安全性と、暗号化処理上の安全性の主張は、全く別の次元にある話だと思っています。
「これ、安全なのですか?」という素朴な問いに対して、回答者が前者を前提に回答し、質問者がその言葉を後者に関するものとして受け取ると、そこに悲劇が生まれます。
でも、未だそういう例がとっても多いのでしょうね…。
Posted by: ふじむら | 2005.03.08 18:47
はじめまして。
専門家ではないですが、気になったもので。
なんていうか生体認証を全知全能かのごとく一方で思っておいて不利な条件下で欠点を突いているように見えるのですが。
>「生体情報は漏洩されて第三者にコピーされてしまうと預金者は外科手術を受けて静脈配列等を変えない限り二度と当該生体認証を使用できなくなる。」「また、全国すべての金融機関がある特定の生体認証方法を採用すると、その情報を第三者にコピーされてしまった預金者は、預金をする方法が日本国内になくなってしまう」と述べているところと同じです。
単純な回避策がありますよ。
なんで外科手術とかうんぬんの前に”口座変えない”んですか?
口座に対してのパスワードでしょう。
簡単に解決できます。(実際の変更に手間がかかるとかは別問題として)
>そして,「絶対に盗まれない」という保証など誰にもできない以上,「安全ではない」という結論が自動的に導出されることになるわけです
それは単に生体認証に限った話ではないですよ。
そして、その考えの元では採用できる認証方式などありえないと思います。
私は別に生態認証が完璧だとは思いませんし、むしろ不完全なものだと思います。
しかし、そもそも暗証番号方式自体が完璧な手法ではないですし、生体認証が採用される流れが来ているのが現実なのでは?
Posted by: Naoto | 2005.03.08 20:24
ふじむら 様
夏井です。
> なんで外科手術とかうんぬんの前に”口座変えない”んですか?
いろんなことを言えないんですが,事実上無意味なオプションだと思います。
口座変えられません。または,変えても同じデータで認証できないと口座開設できません。
Posted by: 夏井高人 | 2005.03.09 00:38
夏井です。
ひとつ前のポストの宛名が間違ってました。
「ふじむら」様ではなく,「naito」様でした。お詫びして訂正します。
Posted by: 夏井高人 | 2005.03.09 00:42
ふじむら 様
夏井です。
> アルゴリズムの安全性と、暗号化処理上の安全性の主張は、全く別の次元にある話だと思っています。
そのとおりですね。
私は,アルゴリズムの完全性のことを言っているのではありませんが,そのことはご理解いただけていると思います。
理解できない人は明らかに馬鹿です。証明を要しません。
ちなみに,かつて何十年も前に某氏との間で次のような会話をしたことがあります。
私:日本は世界最強の戦車を製造する技術を持っているそうだがなぜ製造しないんですか?
某:製造は可能だけれども,重すぎて,道路が耐えられない。移動できない戦車なんて無意味でしょ?
私:なるほど・・・
Posted by: 夏井高人 | 2005.03.09 00:51
Naotoさま、コメントありがとうございます。私もはじめはNaotoさんと同じことを考えていたんです。でも、みなさんに指摘されて、あぁ・・・と気づいたんです。
生体情報は本人という物質につながったパスワードのようなものですね。普通のパスワードは本人とは物質的にはつながっていないので、本人確認の確実性という意味では生体情報のほうがより確実ですね。でも、一度パスワードが盗まれてしまった場合のことを考えると、生体情報の場合は、それを変更できないので困ったことになります。つまり、パスワードを変更できないのです(まぁ、手の指の指紋だと10個ありますが・・・)。人に知られてしまったパスワードを使い続けなくてはダメなんです。口座を開き直すとしても、人に知られてしまったパスワードを使って口座を開かないといけない。そういう意味で、社会的なインフラにおける本人確認手段に生体情報を利用するには、ちょっと問題のような気がするんですね。
それならば、生体情報に比べると本人確認手段としては脆弱ではあるが、普通のパスワードなどのように変更できるものを利用し、パスワードがもれて被害があった場合には、パスーワードを変更して上で使い、被害については保険でカバーするなど他の手段で救済する。というのがよいのではないかと思うんですね。
あるビルの入館のための本人確認手段として生体情報を使うのと、金融システムのような社会システムのための本人確認手段として生体情報を使うのでは違いがあるような気がするんです。
説明がうまくないのは、私がまだよく分かっていないからかも知れません。すみません。
Posted by: 丸山満彦 | 2005.03.09 02:28
> 私は,アルゴリズムの完全性のことを言っているのではありませんが,そのことはご理解いただけていると思います。
その点はむろん重々理解しておりました。
一般論として、慎重であるべき点においても、あまりに不用意に完全性や確実性を口にする人が世の中に未だ多いことに非常に危惧を抱かざるを得ない、ということです。言葉足らずでしたら申し訳ありませんでした。
本来、全く別の次元の話を聞かれているのに、あえて技術に詳しくない相手に誤解されるような答え方で大丈夫、と主張しているのは、回答者が技術分野に属する者であるほど、ただの天然なのかそれとも質問の意図をわざとすり替えて答えているのか?という疑いをこちらとしても持たざるを得ず、残念で仕方ありません。
たとえ普及目的や、営業トーク、宣伝目的にしても、許容範囲というものがあります。
そのような安易な回答こそがかえって後から強い不審を招く要因になる、というのが当方の意見です。
Posted by: ふじむら | 2005.03.09 05:06
>夏井さん
えーと自分たちの土俵の上でしか話せないというのであれば話していただかない方が楽なんですけども。
>口座変えられません。または,変えても同じデ>ータで認証できないと口座開設できません。
何の理由もなしにこう答えられましても。
>丸山さん
なぜ個人との繋がりが生体認証だと強いから問題になるのですか?
ID、パスワードの関係で、パスワードを変えるということとIDを変えるということの差に何の差があるというのでしょうか?
IDを知られてもパスワードを変えれば意味が無いように、人にパスワードを知られようがIDとなる口座番号を変えてIDを分からなくすれば意味が無いでしょう。
こういった単純なことに生体認証だから**という問題を絡めているだけじゃないんでしょうか?
生体認証も暗証番号も脆弱です。
保険うんぬんはどちらでも必要なことだと思います。
Posted by: Naoto | 2005.03.09 09:15
Naoto 様
おはようございます。
> えーと自分たちの土俵の上でしか話せないというのであれば話していただかない方が楽なんですけども。
失礼しました。
同じ土俵の方だと錯覚しておりました。お詫びします。
> 生体認証も暗証番号も脆弱です。
そのとおりですね。脆弱性を持たない認証技術・認証方法など最初から存在するはずがないです。
ただ,問題は,およそ「脆弱性」を言っているのではなく,どのような脆弱性があり,その社会的影響はどのようなものか,という点に着目した文脈でこの話題が進行しているのだと理解しております。
そして,IDやパスワードが単なる符号であり交換可能であるのに対し,生体要素は単なる符号であると同時にまさに生体の要素そのものであり交換不可能なものだという決定的な差があります。
この差を無視してはならないと思います。
議論のカテゴリーとしては,同じ「脆弱性」というカテゴリーに属するでしょう。しかし,それぞれのもつ脆弱性の相違を意識しないとぜんぜん駄目ですね。
そして,私は,生体認証を一般的に用いることは「駄目です」という意見を持っています。
IDやパスワードももちろん弱い。しかし,破られたときの被害の性質・分量は,生体認証を用いる場合よりもずっと小さなものとなることが明らかだと思います。
しかも,破られる確率はほぼ同じだと仮定できます(内通者の出現率やシステムトラブルの発生率など)。
すると,脆弱性の程度の問題としては,生体認証のほうがずっと脆弱だという当然の結論に落ち着くわけです。
> 保険うんぬんはどちらでも必要なことだと思います。
そのとおりだと思います。
認証技術それ自体を完全に守ることが不可能である以上,破られた場合のことを想定して社会システムを構築すべきだということは既に縷々述べていることです。
いわば自明の結論なので議論するまでのことでもないかもしれませんが・・・
Posted by: 夏井高人 | 2005.03.09 10:01
口座を変えるのもいちおう一つの回避策にはなるのかもしれませんね。ただ、それに伴う負担と手間は銀行側はもとより、ユーザ側にも発生しますよね?
口座変更は急策にはなりえても、根本的解決にはなりえないと思います。
不正行為のおそれがあった場合、ユーザ側が必死に口座変更するしか防御策がないようなお粗末なインフラであってほしくはないですね。銀行口座を持つ一市民であれば誰もが持つであろう素朴な感想です。
また、従来のIDやパスワードの問題を解決するために生体認証などの利用が現在あちこちで議論されているわけです。
しかし、その一方で生体認証を導入することでこれまでとは異なったセキュリティ問題が起き得るわけで、それらが未解決にも係わらず、さっさと話が進められていることに多くの関係者が危機感をもっておられるのではないでしょうか。
Posted by: ふじむら | 2005.03.09 10:09
ふじむら 様
こんにちは。お世話になっております。
夏井です。
> 不正行為のおそれがあった場合、ユーザ側が必死に口座変更するしか防御策がないようなお粗末なインフラであってほしくはないですね。銀行口座を持つ一市民であれば誰もが持つであろう素朴な感想です。
私も同じ感想を持ちます。
現実問題として、銀行口座は単なる貯金箱ではないですよね。給与振込、自動引き落とし、自動送金、納税などいろんな目的で用いられていますよね。クレジットカードの利用料金なども自動引き落としで処理されています。
もしトラブルがある度に口座を新たに開設して変更するという方法を選択しなければならないとすれば、このような自動引き落としなどの契約も全部変更しなければならないことになり、かなり大きな社会問題になると思います。最悪の場合には、銀行の信用それ自体が失墜してしまいます。
つまり、預金者にとっても銀行にとっても少しも楽しくない方法だということになります。
ですから、私は、口座を変更するというスキームにはぜんぜん賛成できないわけですよ。
ここであえて強調しなくても、常識の一部かもしれませんが・・・
Posted by: 夏井高人 | 2005.03.09 13:16
銀行側でどのような手間がかかろうがそれは”IDを変えれば対処できる”ことに対して関係ないとだと思いますが?
この変更によって他のシステムに影響できないように作りこめば良いだけの話です。
悪影響を及ぼすと考えて仮定するのはフェアじゃないですね。
なぜ暗証番号や、生体要素は盗まれるのにw、まともなシステムを作るのを否定されるんですか?
都合の良い仮定をたくさん立てておいて解決方法は飲めないというのは如何なものかなと思います。
ま、こんなところですが、私には一方に不公平な仮定というのがどうもあわないようです。
データが盗まれ、解読されることを仮定して話すのはそれはそれで意味があると思いますし、否定もしませんが。
データが盗まれ無い場合のセキュリティレベルと盗まれた時の対処方法のトータルで判断するのがより現実的な考えでは?
IDが変えれる時点で生体要素は符号に過ぎないと思います。生体要素単体では意味を為さない。
それ以上の何者でもない。
”ID+生体要素”が鍵なのか”ID+パスワード”が鍵なのかだけの話です。生体要素が固定であろうが、IDで鍵が変わるんですから。
Posted by: Naoto | 2005.03.09 21:59
Naotoさん。回答がおくれてすみません(義務ではないのですが、なんとなく・・・)
> なぜ個人との繋がりが生体認証だと強いから問題になるのですか?
夏井先生が指摘しているように、IDやパスワードが単なる符号であり交換可能であるのに対し,生体要素は単なる符号であると同時にまさに生体の要素そのものであり交換不可能なものであるので、変更が必要な時に変更ができないからだと思っています。アメリカの社会福祉番号も制度的に変更ができないため(多分)、特定の人と結びついて漏れてしまうと架空口座を作られたりするので、「怪しいところでは社会福祉番号を教えてはならない」と現地の人に教えられました。
> ID、パスワードの関係で、パスワードを変えるということとIDを変えるということの差に何の差があるというのでしょうか?
IDは他人に知られてもよいもので、パスワードは他人に知られては困るものだと思っています。なので、対称ではない。漏えいした指紋をIDにして、口座番号をパスワードにするというのは、運用できないような気がしています。銀行名+支店名+指紋番号が口座番号、銀行から付与された番号がパスワード、となるのですよね・・・
私も、冷静にもう一度考えて見ますね。
Posted by: 丸山満彦 | 2005.03.10 15:46
丸山先生、先生のブログで長々とすみません。
> データが盗まれ無い場合のセキュリティレベルと盗まれた時の対処方法のトータルで判断するのがより現実的な考えでは?
おっしゃるとおりだと思います。
だからこそあらかじめ「悪影響を及ぼす」可能性があることをあらゆる角度から「仮定」して検討する必要があると考えています。
その際の検討の視点は多岐に及ぶほど良いわけで、誰にとって都合が良い悪いはあまり問題ではないのかもしれません。
なぜ昨今、こんなふうに生体認証についていろんな人の意見が別れるのか?システム導入に際して面倒なほど深い議論が必要になるのか?
そのあたりの背景を探るには、技術やシステムの作りこみから少し離れて「生体情報とプライバシー」の問題に立ち返って考え直してみると、今後語るべき共通の論点がさらに見えてくるかもしれませんね。
私ももう一度いろいろ考えてみたいと思います。
Posted by: ふじむら | 2005.03.10 18:56
バイオメトリックス技術は有用な技術です。しかし客体としての人間の肉体を計測・識別の対象とするバイオメトリクス技術を、主体としての人間の意思行為である本人認証にそのままで応用できると考えるのは間違いです。客体の計測・識別と主体の認証は異なる概念であり異なる技術分野だからです。識別目的のバイオメトリックスは有用で是、認証目的のバイオメトリックスは誤用で非です。詳しくは
http://www.skr-tech.co.jp/nemeppt.htm
Posted by: SKR | 2005.03.29 15:40