生体認証って便利ですよね!
ID・パスワードって「使いまわしするな」とか「メモするな」とか「パスワード強度を上げろ」と毎回言われますが、全てのサイトやサービスでパスワードを毎回変えて記憶するなんて実際不可能です。最近のスマホでは自分
の指紋や顔を登録してID・パスワードが自動管理できる機能が搭載されており、今やスマホには無くてはならない機能の一つと言えると思います。
そんな「本人しか利用できない」はずの生体認証は、何処まで安全なのでしょうか?
昔からスパイ映画などでは「強固なセキュリティシステム」をあの手この手で突破するようなシーンがありますよね、ワイングラスから指紋をコピーして指紋認証を突破したり、3Dマスクで顔認証をパスしたり、はたまた高精度な義眼を使って虹彩認証を突破してみたり。
フィクションな映画ほどでもないにしても、現実社会でも「寝てるパートナーの指や寝顔でスマホをアンロック」など…物騒な話を聞く事があったりしますが、映画のように生体認証をなんらかの方法で突破することを「偽造」や「なりすまし」、セキュリティ用語では「攻撃(アタック)」と呼びます。
実際のところ、ID・パスワードに関しては、万が一流出しても変更してしまえば一応対策は可能です。しかし生体情報は本人の生体的な特徴であるが故に簡単には変更できません。このような生体認証のシステムには、偽造やなりすましによる攻撃に対して有効な対策が必要となる事がご理解頂けると思います。
生体認証とは、「人間の身体的特徴を用いて本人を特定する認証方式」です。人間の身体的特徴は、ひとりひとり異なっており、100%同じものは存在しない為、それらの特徴を見分ける事によって本人を特定します。
具体的には、顔、指紋、虹彩、静脈などが一般的ですが、身体から発せられる音声(声紋)なども生体認証の方式の一つとして使われています。
それぞれの認証方式には、利点と欠点があり目的や用途に合わせて使われています。
これらの生体認証方式の中で、顔認証が優れている点は「非接触・同時認証・認証距離が長い」という3点が上げられます。
顔認証以外の指紋、虹彩、静脈認証は生体認証を行うのにほぼ0距離で「静止」して「積極的」にセンサーに接触を行ったり、カメラを覗くなど認証行為を行う必要があり、認証機器に対してそれぞれ一人ずつ認証する必要があります。また、手袋をするような用途では、指紋・静脈認証は使用できないので認証の為に外す必要が出てきます。
非接触で認証時間が短く、通常では専用のセンサーを必要としない顔認証は、カメラとソフトウェアのみで実装が可能という点から、多くの機器で実装が可能であり、汎用性が高い優れた生体認証方式と言えるでしょう。上記の理由によりFaceMe®では顔認証による生体認証にフォーカスして機能を提供しています。
さて、生体認証の定義の話に戻りますが、「人間の身体的特徴を用いて本人を特定する認証方式」とは、身体的な特徴を用いて人物を特定しているだけであり、実際のところ「認証対象が本当に人間なのか」という点は基本的にはチェックの対象としていません。
もちろん、それぞれの認証方式によって偽造の難易度や認証要素の入手可能性リスクは異なりますが、偽造が可能であれば生体認証は突破することが理論上は可能という事になります。
より安全な生体認証を提供する為には、生体認証だけでは無く「偽造」や「なりすまし」による「攻撃」行為に対しても有効な防御手段を用意する事により、セキュリティが強固で安全性の高い生体認証のシステムを構築する事が可能になります。
顔認証のシナリオにおいて、一番シンプルな「なりすまし」のシナリオは、「写真攻撃(フォトアタック)」です。
これは、写真を印刷したパネルを顔の前に持ってくる事によって、写真を使用して顔認証を突破しようというなりすまし行為であり、顔認証においては誰もがイメージする突破方法であるかと思います。
このような「写真攻撃」は、有人のセキュリティゲートでは「明らかな不審者」であり、セキュリティによるチェックの対象となる場合が殆どですが、スマホのアプリやサービス、省人力店舗、キオスクなど、認証デバイスの周囲が無人の可能性が高い環境では有効な攻撃手段と言えます。
また、「写真攻撃」のバリエーションとして、実物大で顔の形に切り抜いた「お面」を使用した「写真攻撃」や、スマホやタブレットを使用した「写真攻撃」、認証に動画を使用する「動画攻撃」などを上げる事が可能です。さらに偽造難易度は大幅に上がりますが、3Dスキャン技術を使用して作成した高精度の3Dマスクを利用した「3Dマスク攻撃」や顔の特徴を模した「マネキン」なども現代の技術では理論上は可能な攻撃方法として挙げることが出来ます。
FaceMe®が提供する「なりすまし防止」機能は大きく分けて3種類あります。1つ目は専用の3Dカメラセンサーデバイスから3次元深度データを取得してなりすまし防止に利用する「3Dなりすまし防止」技術。2つ目は、専用のIRカメラから取得した赤外線画像とRGBカメラの画像をAIで解析してなりすまし防止に利用する「IRなりすまし防止」技術。3つ目は通常のIPカメラ、WebカメラなどRGBカメラを使用した「2Dなりすまし防止」技術です。
RGBカメラを利用した「2Dなりすまし防止」機能の最大の利点は、専用デバイスを必要としない事です。これによってスマホやタブレット上にある低コストのWebカメラを認証用の入力デバイスとして使用することが可能となります。
「2Dなりすまし防止」機能の場合、カメラから入力した映像をAIで判定する事により「人間らしさ」や「なりすまし行為」を検出して、その結果から「人間であるか」「なりすまし行為であるか」「偽造であるか」を高度に判断します。また、映像からの判断が難しい場合には「ジェスチャーを要求」することにより、指示に対してリアルタイムで正しく応答が可能かどうかを確認して「人間であるか」の判断を行う事が可能です。
この「2Dなりすまし防止」機能に関しては、例としてキャッシュレス口座など本人確認が必要な口座の開設時、スマホのアプリ上でライブ撮影を行い、本人確認書類と顔写真+ジェスチャーを使用する「eKYC」と呼ばれる本人確認機能が分かりやすいかと思います。
ところで「eKYC」による口座の開設時、サービスによっては何度やってもジェスチャーやカメラ撮影をパスすることが出来ず、やり直しを繰り返して結局断念した…なんて苦い経験はありませんでしょうか?「2Dなりすまし防止」機能に関しては、サービスプラットフォームを提供しているベンダー毎に認識精度のばらつきが大きく、結果としてユーザビリティの低下を招いている場合が多く存在します。セキュリティレベルを向上する為といってもユーザビリティが犠牲になってしまっては本末転倒ですので、高速で精度が高い「なりすまし防止」機能は顔認証機能を実装する上で、無くてはならない機能であると言えます。
このような「eKYC」用途のように、一般的なスマホ・パソコン上のRGBカメラが利用可能な「2Dなりすまし防止」機能を使用する事により、不特定多数のユーザーに対してインターネットを越しに高精度な本人確認機能を実現する事が可能な点が最大のメリットと言えます。
また、「2Dなりすまし防止」機能にも欠点があります。RGBカメラを利用する為、カメラ照度の低下や、手振れが多く発生すると真偽判定が難しくなり、ジェスチャーを使用した判定が必要となるケースが多くなります。このようなジェスチャーを使用するケースでは、認証の対象を1名に絞る必要があり、高精度での「なりすまし防止」を行う為には、認証者はカメラ前に立って数秒間かけて能動的に認証を行う必要性があります。
FaceMe®では3D深度カメラを利用する「3D なりすまし防止」機能も提供しております。ここで言う3D深度カメラとは、いわゆる立体視用の2眼ステレオカメラだけではなく、赤外線のパターンを照射するTOFカメラ、iPhoneで使用されているFaceIDカメラなどを指しており、専用設計ハードウェアから深度情報を取得して「なりすまし防止」を行う手法となります。
これらの専用デバイスの特徴は、RGBの画像と同時にデプスマップという「3次元計測による3D深度情報」を取得することが可能となっており、顔の位置座標にある2次元情報による顔認証と3D深度情報を組み合わせて認証することにより、瞬時に顔認証+なりすまし防止機能による生体チェックを行う事が可能となる事です。
「3Dなりすまし防止」の最大のメリットは、「2Dなりすまし防止」のようなジェスチャーによる判定などは不要で、3Dカメラの認証範囲に入れば複数人同時、かつ瞬時に高精度で認証が可能となることです。デメリットはカメラのハードウェアによって、認証可能な距離やエリアが固定されてしまう事、専用ハードウェアが必要であり、カメラ毎にチューニングが必要で対応にリソースコストが必要となる事です。
FaceMe®では3D深度カメラだけではなくシンプルな赤外線カメラを利用した「IR なりすまし防止」機能も提供しております。IR カメラはRGB カメラとセットで運用して、赤外線画像とRGB カメラの画像を同時に取得し、両方の画像をAIで解析する事によって「なりすまし」であるかの判断を行います。
3DカメラとIRカメラは専用デバイスが必要な点では同じですが、3Dカメラでは多くのハードウェアチップにより構成され、カメラ内部やドライバ上で3Dへの変換処理が行われるため、一般的には高コストになる場合が多いです。それに対してIR カメラは3次元への変換が必要ない分ハードウェア構成がシンプルで、低コストでカメラの製造が可能となります。なりすましの判定はデバイス上のCPUのAI処理によって判断するため、CPUのパフォーマンスと処理時間が必要となる場合があります。
「3Dなりすまし防止」もしくは「IRなりすまし防止」機能を使用する場合、まず認証を行うデバイスと人物の距離を設計上考慮してデバイスを選択する必要があります。たとえば、タッチパネル式のキオスク端末等で使用する場合、設置する位置によって人物とカメラの距離は決まってくるので、立ち位置に合わせて最適なカメラを選択する必要があります。ウォークスルーによる立ち止まらないで通過する認証などは距離が一定では無いので困難ですが、設定位置で一度立ち止まってデバイスを注視する程度の時間があれば、生体認証+「なりすまし防止」機能を実現する事が可能となります。
ここまで記事を読んで頂けたのであれば、ご理解頂けましたでしょう。
「なりすまし防止」機能の無い顔認証は簡単に突破することが可能です。
ただ実際のシナリオにおいて、「なりすまし防止」機能の無い顔認証の用途は「セキュリティレベル」より「利便性」や「来訪者の可視化」を目的として顔認証を利用している場合に限られる事が多いと言えるかもしれません。
前述のとおり、ゲートセキュリティ等においては「警備員が常駐する場所」や、通常時でも共連れが可能なセキュリティレベルの低い公共性の高い自動ドア、来訪者も利用する会議室の入退などに関しては、わざわざ「なりすまし防止」を検知する必要性は薄いでしょう。また出退勤用途などの場合では、画像がログとして記録されていれば、なりすまし行為を行った不正は過去に遡り簡単に発見されてしまいますので、「なりすまし防止」機能を実装するまでも無いと判断される場合があります。
逆にセキュリティレベルの高いアクセスコントロールや、無人の決済端末などにおいては、「なりすまし防止」機能は必需の機能といって良いかもしれません。ただし、この場合においても、顔認証のみではなくPINコードなど「多要素認証」を行う事により「なりすまし防止」機能を利用せずともセキュリティレベルを大幅に高める事が可能となります。
このように「なりすまし防止」機能は、顔認証のセキュリティレベルを向上する為の1つの要素として有効な機能ではありますが、認証シナリオ・ハードウェアコスト・ユーザビリティ・セキュリティレベルに応じて必要性を考慮した上で使用の有無を決定して頂ければ良いかと思います。
最後に「なりすまし防止」の精度に関するお話です。
なりすまし攻撃に対する有効性の検証には「写真」「動画」「3Dマスク」「マネキン」など様々な、意地悪シナリオでのテストが必要となりますが、顔認証において世界的に権威のある米国国立標準技術研究所(NIST)から認定を受けている、独立系第三者品質保証機関「iBeta(本社:米国)」にて顔認証のなりすまし検知ソフトウェアのPAD(プレゼンテーション攻撃検出)テストを行っており、これに合格することでISO規格に適合した認定を受ける事が可能です。
ISO-IEC 30107-3の基準として、顔写真およびディスプレイに表示した顔画像を使用したなりすまし防止シナリオにおいてエラー率0%をレベル1、3Dマスクやマネキンなどを対象としたなりすまし防止シナリオにおいてエラー率1%以下でレベル2といった、実際のプレゼンテーション攻撃のシナリオに即した認定を行っています。
FaceMe®はiBetaのPADテストにおいて、レベル1およびレベル2にて攻撃プレゼンテーション分類エラー率(APCER)は0%を達成しており、ISO-IEC 30107-3に準拠した認定を取得しています。さらに、真正プレゼンテーション分類エラー率(BPCER)は、iOSデバイスで1.5%、Androidデバイスで2.5%と極めて低い値を記録しており、実際に対象が人物である場合に98.5~97.5%の成功率で認証が可能です。
このようにFaceMe®がさまざまな手法による生体認証による「なりすまし詐欺」を防止することのできる業界最高水準の顔認証ソリューションの1つであることの証明と言えます。
FaceMe®は、セキュリティ、アクセス制御、公共サービス、フィンテックなどの多くのシナリオにおいて高精度な「なりすまし防止」による本人確認を行う事が可能なソリューションを実現することが可能です。高速で信頼性が高く、正確で柔軟性に優れた顔認証ソリューションを、ソリューションビルダーやシステムインテグレーターに提供しています。