執筆者:國米 仁【株式会社ニーモニックセキュリティ】

筆者はNTTコミュニケーションズのCoDenペイメントサービスの標準ユーザ認証手段として使われている長期視覚記憶活用型画像パスワード「ニーモニックガード」を5年ほど前に考案した。

ニーモニックガードが現在の形に仕上がり腰を据えて本人認証のビジネスを始めようとした頃にある携帯電話会社のセキュリティ担当者から聞かされたのが「強固な本人認証は生体認証で決まり。今更何をするつもりなの?」ということであった。それでは生体認証とは如何なるものかと研究したところ「本人でありながら拒否されてしまう本人拒否をゼロに近づけようとすると他人の受入率が際限なく撥ね上がり、今度は他人受入をゼロに近づけようとすると本人拒否率が際限なく撥ね上がり」という原理的な制約を抱えた技術であることを知った。

そこで実際の運用の場面ではこの本人拒否・他人受容ジレンマはどう解決されているのかと研究すると、これが真に奇怪至極なロジックがまかり通っていて大いに驚かされた。曰く、忘れ易く盗られ易いパスワードでは安全を守れないので、忘れることも盗られることもない生体情報を使うバイオメトリックスを認証に使って安全を実現すれば良い。稀に起こる本人拒否に対してはパスワードで対処すれば良い。

このロジックを検証してみよう。

A命題:パスワードは高い他人排除力を期待できる認証手段ではない。

B命題:生体認証では高い他人排除力で高いセキュリティを実現できる。

C命題:生体認証に伴う本人拒否問題はOR方式で併用するパスワードに頼って解決する。

A・Bは不整合ではない。B・Cも不整合ではない。しかし、Aの内容はCの内容を否定しているのだから、A・B・Cは紛れもなく不整合である。「全体整合は部分整合の総和ではない」ことの見本のようなものである。

ところが、言葉の表面だけを追うと「生体認証の高い他人排除率でセキュリティを実現し、本人拒否という使い勝手の問題はパスワードを併用することで解決できるので、セキュリティと使い勝手の二つともに満たして目出度し目出度しなのです。」と聞こえるようで、産学官マスコミを問わず実に多くの人がこのA・B・Cを有効な議論だと納得してしまっていた。(筆者の体験ではセキュリティ業界関係者100人中の95人以上。情報セキュリティ調査室長とかシステム監査人のタイトルを持った人もいた。)

ニーモニックガードの事業化努力の傍らで、筆者は機会ある毎にこのABCロジックは虚偽であると解き明かしてきた。筆者の努力がどれほど貢献したかは判らないが、やっと最近になって「パスワードOR併用で運用する生体認証システムによってパスワードよりも高いセキュリティを実現する」とは謳わなくなったベンダーがちらほらと見受けられるようになってきたところである。

ただ、喜んだのもつかのまで「ORで駄目でもANDなら良いのだろう」ということで、今度は本人拒否が殆ど起きないようにと閾値を大きく下げた生体認証とパスワードをANDで併用する方式が出回り始めたのだ。OR方式蔓延時と同様に今回もかなりの人が「これで不都合を抑えて高いセキュリティが実現できる」と納得してしまっているようである。

それではOR方式とAND方式の得失を詳しく検討してみよう。

1.(片手懸垂のできる人や100mを12秒で走る人も稀にいるのと同じように、少しはいるであろう)強固なランダムパスワードを自在に使いこなせる人を前提にすると、

OR方式であれば生体認証の他人受容チャンスを攻撃者に追加提供するという事実によって折角高く維持できているセキュリティを低下させることになり、

AND方式であればOR方式のようなセキュリティ低下は避けられるものの、怪我・体調不良その他の理由で本人拒否が起こった場合、特にモバイル環境では権利義務の遂行が不可能になるというリスクを抱えこむ。この本人排除は原理的に本人の責に着せられない性格のものである以上は最終的にはシステム提供者・推薦者・認可者側が何らかの責めを負わざるを得ないものである。

2.ランダムパスワードを使いこなせない圧倒的な多数派の人たち(他人の類推容易なパスワード使用かメモの持ち歩き)を前提にすると、

OR方式であれば全体のセキュリティは、使いこなせない脆弱なパスワードに決定的に左右される上に、生体認証の他人受容チャンスが追加提供されているという事実によってセキュリティは最低レベルにまで崩壊し、

現在普及しつつあるAND方式では生体認証の本人拒否率をできるだけゼロに近くしようとするものであるから他人受容率は撥ね上がらざるを得ない。他人排除力に期待を持てないのでその穴埋めをパスワードに頼るのがこの用法の主旨であるが、ここではランダムパスワードを使いこなせない多数派ユーザが前提なのだから、「他人排除に期待を持てない生体認証と他人排除に期待をもてないパスワードをANDで使う」ことがこの用法の実態であるということになる。大声で「ガードマンを2人もつけました」。小さな声で「一人は栄養失調でヘロヘロ、もう一人もヨボヨボして立っているのがやっと、ですけどね。しかも2人を同時に相手にするのではなくて、一人を押しのけておいて一服してから次の一人を押しのければよいのですがね」。

「他人排除できないパスワードだけ」よりはマシで、「他人排除できない生体認証だけ」よりもマシとは言えるだろうが、所詮はその程度のことである。他面では、どんなにひどい怪我をした指や手でも通過させるところまで閾値を下げることは考えられないから、頻度は少なくても本人拒否が起こった場合には権利義務の遂行が不可能になるというリスクを抱えこむことに変りはない。

OR方式での「得失」がAND方式では「失得」になって、100歩までは行かずに50歩で踏みとどまってはいるようだが依然として五十歩百歩の域を越えるものではないという評価が妥当なところではないだろうか。「使えないとは言えないだろう?」と問われれば一応は肯かざるを言えないものの、「本当にこれで良いと納得されているのですか?」と聞き返さざるを得ない。

また、「指を置くだけで認証!」といった簡便さの売り文句も失われ、他人排除力がないと卑しめた筈のパスワードに自らの他人排除力喪失の穴埋めをしてもらうことにもなって、技術立国日本を担うべき開発技術者の面目と誇りは一体どうなるのか?

ともあれ、この数年の貴重な教訓の一つは、情報セキュリティに携わる人達の多くにとって「全体整合は部分整合の総和ではない」は常識ではなかったということだ。OR併用方式を有効だと納得して疑うことのなかった人達の多くは恐らく今回のAND方式についても全体整合の評価を行うことはないだろう。啓蒙をせずに放っておけば前回同様に部分整合の足し算だけの間違った結論に安住してしまうのではないかという危惧を抱かざるを得ない。

筆者はセキュリティ技術が優良誤認に基づいて普及してしまった場合の揺り戻しを懸念している。推奨暗号技術を始めとする有効有用な多くの技術を載せたままで情報セキュリティ技術全体が国民の信任をなくしてしまうのではないかと危惧しているのである。

やがては擬似透かしも入ったユニークな記番号付きの偽札を作る中高生或いは小学生が出てくるだろう。精密デジタルコピー技術の普及によって高額紙幣や印鑑の信任が非可逆的に喪失すれば、何らかの電子マネーや電子的証明手段の登場を待つしかない。しかし国民の中で情報セキュリティ技術全般への信任が崩壊していれば電子マネーや電子証明書が国民に受いれられることはない。信頼すべき通貨や本人確認手段を持たない日本経済なるものを考えざるを得なくなる。筆者が経済哲学を学んでいた学生時代には夢想だにできなかった光景である。

情報セキュリティ技術については優良誤認の蔓延を断固として阻止し、また生体情報などのセンシティブな個人機微情報を扱う場合にはインフォームドコンセントを徹底する、という主旨を明確にしたガイドラインの策定が待たれるところであり、マスコミによる啓蒙にも期待するところである。

* 生体認証技術が対象とする生体情報は一生涯キャンセルも変更もできないセンシティブな個人情報であり、また一部の生体情報は医療データの価値ありと報道され、またその一部は遺伝性疾患を示すものであるかも知れないといった問題も存在するが、これらの問題については他の機会を待ちたい。

國米にメールは h-jin.kokumai@nifty.com