2013年10月15日 (火)

ワンタイムパスワードの優良誤認流布の典型的ケースの一つです

○ シニア層のネットバンキング利用 - セキュリティとサポートへの不安を解消
http://news.mynavi.jp/news/2013/09/16/029/
 
『ジャパンネット銀行では、2006年よりトークン式ワンタイムパスワードを導入。年々ネットバンキング犯罪が増加する中、ワンタイムパスワードを破っての被害件数0件を継続しており、最高水準のセキュリティによって、シニア層がインターネットバンキングに抱く「セキュリティへの不安」を払拭している。
「トークン」とは、取引時に必要な本人認証として、1度だけ有効なパスワードが表示されるアイテムで、新規口座開設後に無料で提供される(全顧客への無料提供はジャパンネット銀行のみ)。ワンタイムパスワードは、「トークン」に表示される6桁の数字で構成されたパスワードで、数字は60秒で切り替わるため、誰かに盗み見られたり、メモに書きとめられても悪用される心配がなく、1度使われたワンタイムパスワードは無効となる。振り込みや登録情報の変更など、重要な取引の際に、安心して使用できる。』
 
★ 上記によると、「トークン」に表示される文字列をその都度打ち込めばよいのだから、覚える必要もなく、使い捨てなので盗聴や盗撮を気にする必要もない、まさに理想的なパスワードのように思えます。しかしよく考えてみると、機械によって生成される一時乱数が証明しているのは「トークン」の真正性だけで、利用者の真正性を証明しているものではありません。すなわち、利用者が正規の本人か攻撃者かは証明することができないのです。
「ワンタイムパスワード」という名前ではあるものの、「記憶によって認証する」パスワードとは全く異なる別の認証手段です。当方は”擬似ワンタイムパスワード”と呼んでいます。

2013年9月26日 (木)

米上院議員がiPhone5s指紋認証の安全性に懸念提起だそうです

○ 「5s」指紋認証 安全性に懸念提起
http://www.sankeibiz.jp/express/news/130924/exb1309241221001-n1.htm
『コメディアンとしても知られる米上院議員のアル・フランケン氏(62)=ミネソタ州選出=が安全上の懸念を提起し、アップル社に意見書を送った。 フランケン氏は「指紋はパスワードと違って変えることができず、さらに人は至る所に自分の指紋を残している。偽装されやすく危険だ」などと主張している。』

2013年9月20日 (金)

管理人プロファイル

鵜野幸一郎(うのこういちろう)

略歴:1971年慶應義塾大学経済学部卒業、1971年日本IBM株式会社入社、渡米中に米IBM同僚および米政府関係者に接し、国家・企業の運営において情報セキュリティ基盤の確立が必須であり、OECD各国の中では抜きん出て脆弱なことを実感。日本IBM退社し、2002年日本セキュアテック研究所設立し、情報セキュリティとりわけ電子的本人認証および暗号の鍵の運用を中心に研究。2011年日本セキュリティ・マネジメント学会(会長:佐々木良一東京電機大学教授)にて「社会への提言」として「誰でも安心して使えるパスワードの実現に向けて」を発表の際の代表世話人。2011年バイオメトリクスと認識・認証シンポジウムにて、セキュリティ製品サービスの優良誤認排除を趣旨とした「屋外環境における救済パスワード運用に関して」を発表。20112013JIPDECにおける電子的本人認証の研究タスクおよび検討会にて事務局長として活動。健全なサイバー世界の維持発展には情報セキュリティ技術全般への国民の信任確保が必須であるとして情報セキュリティに関する国民の優良誤認状況を正すこと、と捉え現在活動中。

スライド版 「屋外環境における救済パスワード運用に関して」

小論文 「屋外環境における救済パスワード運用に関して」のスライド版(パワーポイント)です

小論文 「屋外環境における救済パスワード運用に関して」

指紋認証搭載iPhoneは、下記拙論で論じている救済用パスワードOR併用指紋認証装置搭載のスマートフォンの範疇に当たります。

屋外環境における救済パスワード運用に関して
The Role That Rescue Password Plays For Biometrics Deployed In Outdoor Environment
鵜野幸一郎†
†日本セキュアテック研究所
kouichiroh UNO†
†Nihon Securetech Lab.
19 November,2012

アブストラクト
利用者端末においてはスマートフォンやタブレット端末に代表されるように「屋内環境での利用」から「屋外環境での利用(モバイル化)」の傾向が顕著である。なりすまし犯罪が横行する折、端末利用者にとって確実な本人認証は喫緊の課題である。そこで屋外環境における救済用パスワード付き生体認証装置搭載の利用者端末のパスワード運用について考察する。

1. はじめに

電子的認証方法として現在最も多く使われている個人認証手段はパスワードである。パソコン自体へのログイン、LAN経由ないしインターネット経由での各種適用業務システムへのログインなど、大半のコンピュータシステムで「ID・パスワード」がユーザ本人認証手段となっている。しかしながら不正使用や犯罪防止の点から見るとパスワードには大きな欠陥がある。すなわち、「覚えやすく思い出しやすいパスワードは破られやすく、破られにくいパスワードは覚えにくい」という人間の記憶力の特性からくる制約である。

この制約の中で何とかしてパスワードを使いこなそうとさまざまな工夫・対策が考えられてきたが([1])、現在のところは万人にとって有効な対策は見出されておらず、パスワードを使わずに適切な本人認証が可能な手段として生体認証に社会の期待が高まっていることは周知のとおりである。

また、スマートフォンやタブレット端末に代表されるように本人認証を必要とする利用者端末に関して「屋内環境での利用」から「屋外環境での利用(モバイル化)」の傾向が顕著となってきた。なりすまし犯罪が横行する折から、端末利用者にとって確実な本人認証は喫緊の課題である。

本稿では、生体認証が社会の期待に応えてその真価を発揮するための諸条件について、救済用パスワードとの兼ね合いを考慮しながら考察しようとするものである。

2. 生体認証における他人受容と本人拒否

指紋・静脈・虹彩などの静的な生体認証もサインや行動パターンを照合する動的な生体認証もどちらとも高いセキュリティ、つまり、高い他人排除率ないし低い他人受容率で運用すると必然的に本人排除率は高く(本人受容率は低く)なる。

この点についてIPA(情報処理推進機構)が発行している「生体認証導入・運用のためのガイドライン」では以下のように記述されている。

“(2)閾値、本人拒否率および他人受入率: 生体認証において、どのように閾値を定めても、誤って他人を受け入れる可能性を 0 にし、かつ誤って本人を拒否する可能性を 0 とすることはできない。生体認証においては、エラーは不可避であるため、環境やアプリケーションに応じて、リスクと利便性の兼ね合いで適切なエラー率の設定を行う必要がある。誤って本人を拒否する確率を、本人拒否率:FRR(False Reject Rate)と呼び、利便性要件に対応する。一方、誤って他人を受け入れる確率を、他人受入率:FAR(False Accept Rate)と呼び、安全性要件となる。
(3)利便性と安全性のトレードオフ: 一般に、本人拒否率を低く抑えようとすれば、他人受入率は高くなる。逆に、他人受入率を低く抑えようとすれば、本人拒否率は高くなる。そして、本人拒否率が高く他人受入率が低い場合、安全性を重視した認証であり、本人拒否率は低く他人受入率が高い場合、利便性を重視した認証であるといえる。” [2]

3. 屋外利用と屋内利用

セキュリティ重視で運用すると一定程度の本人排除は避け得ないが、その場合に屋内であって管理者に救済を依頼できる場合には特に問題は生じないが、救済を依頼すべき管理者がいない屋外での利用時に本人排除が起こった場合には本稿のテーマである課題に直面する。

業務中止ということで解決するなら何ら問題はないが、業務を遂行しなければならない利用者は自らが単独で本人排除の状況を解決できる方策を用意しておかなければならない。

自らが管理するパスワード(救済パスワードと呼ばれることが多い)で解決できるようになっている生体認証製品の場合にはパスワード管理に多大の注意が必要である。それは、利用者自身が管理するパスワードによる救済が可能となっている生体認証製品のセキュリティは、同じパスワードを利用するかぎりは、パスワードのみで運用する生体認証製品よりもセキュリティが弱くなっているからである。(パスワードの脆弱性と生体認証の脆弱性の合算値が全体の脆弱性となるため)

ちなみに、生体認証技術の中でも最も精度が高いといわれている虹彩認証でも採光条件の不安定な環境では理論値とはほど遠い性能を示していることは英国の空港での実証実験でも明らかになっている。 [3]

4. 提言

上述の認識にもとづき生体認証製品が利用者の信頼を長く保ち正しく有効に利用され続けられるべく、屋外で利用される生体認証製品の性能表示について以下の提言を行ないたい。

4-1. 救済パスワードを備えない運用の場合には、本人拒否率ゼロでの運用が求められる。その他人受容率について第三者機関による屋外環境における実測データを表示すること。

なお、第三者機関による屋外環境における実測データが存在しない場合には、カタログ記載性能は理論値ないし測定条件の安定した実験環境による自社測定値であって屋外環境における第三者機関による実測データは存在していない旨を表示すること。

4-2. 救済パスワードを備える運用の場合には、パスワードのみの端末で使用していたものと同じ強度のパスワードを登録すると全体のセキュリティは低下してしまうので、パスワードのみの端末と同じレベルのセキュリティを維持したい時にはより高い強度のパスワードを登録して記憶しておく必要がある旨を表示すること。

5. おわりに

画期的な技術が普及していく過程では、利用者が当該技術について過大な期待を持ったり、適切でない使い方をする、ということが起こりがちなのは歴史の示すとおりである。また、国民の生命財産に直接影響を与える製品である医薬品、自動車のブレーキ、建物の支柱等の性能表示同様、セキュリティ製品も正しい性能表示が必須である。決して公正取引委員会によって定義されている「優良誤認: 適正とはいえない表示や広告によって、製品あるいはサービスが実際よりも著しく優良であると消費者が誤認すること([4])」があってはならない。

生体認証技術は、ユーザに記憶の負担をかけずに個人の特定ができるという点で万人にとって極めて可用性の高い認証技術である。この技術が社会に貢献するためには、上記に論述した通り、セキュリティに関してユーザを優良誤認に導かないよう、生体認証技術について正しい認識をしたうえで適切に利用してもらうよう正確なデータを提供することが不可欠なのではないだろうか。


参考文献

[1] Richard E. Smith::認証技術 パスワードから公開鍵まで,稲村雄監訳,オーム社(2003)
[2] 情報処理推進協会 生体認証導入・運用のためのガイドライン
http://www.ipa.go.jp/security/fy18/reports/bio_sec/bio_guideline.pdf
[3] Two UK airports scrap IRIS eye-scanners
http://www.theregister.co.uk/2012/02/17/iris_scanners_scrapped_at_two_airports/
[4] 不当景品類及び不当表示防止法(昭和37・5・15・法律13号 改正17・4・27・法律35号)

セキュリティの優良誤認を考える

指紋認証搭載iPhoneのカタログにカタログには『あなたの指でホームボタンに触れるだけで、iPhoneのロックが解除される。便利で、この上なく安全な、あなたのiPhoneへのアクセス方法です。』との説明があります。それを受けて大手マスコミ(テレビ・新聞・雑誌等)はiPhone 5sの指紋認証センサーについて概ねセキュリティ機能を高めた優れものとの不正確な記事や論評を流して「優良誤認」(適性とはいえない広告や表示によって、製品あるいはサービスが実際よりも著しく優良であると消費者が誤認すること)を助長する記事や論評を展開しています。
この「優良誤認」をこのまま放置しておくことは国民のサイバーの世界における安全・安心を維持することはできないと思い『セキュリティの優良誤認を考える』と題した当ブログを開設しました。

まずは、2012年秋に電子情報通信学会主催のバイオメトリクスと認識・認証シンポジウムにて発表した「屋外環境における救済パスワード運用に関して」と題する小論文とスライドをご紹介して当ブログを訪ねてこられた一般利用者の目からウロコが落ちる一助として正しく指紋認証や本人認証についてご理解いただければと考えた次第です。
当小論/スライドに目を通すと、iPhone 5sの指紋認証センサーは、ロック解除の利便性を向上させるものの、実はセキュリティ強度を下げており決して『この上なく安全』な代物ではないという実態が理解できます。

『セキュリティの優良誤認を考える』と称する当プログは、「優良誤認排除」の啓発活動を初め、指紋認証を代表とする生体認証についての一般利用者にとって有用と思われる情報を掲載いたします。また、サイバーの世界において「自分がその本人である」と主張する人物が本当にその人物であるかを確認すること――すなわち、「本人認証」について社会的事象の観点から考察しつつ掲載します。