1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. 生体認証が企業システムのスタンダードになるこれだけの理由

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

生体認証が企業システムのスタンダードになるこれだけの理由

記事の要約

  • 富士通の生体認証は、センサー内蔵ノートPCやモバイル端末に加え、外付けデバイスなど選択肢も増加し、システムの変更に柔軟に対応。認証システム構築専用サーバーSecure Login Box(SLB)で、既存システムの改修も不要。
  • 最大50種類のアプリケーションのID/パスワード登録ができるSLBは、CSVファイルでのインポートも可能。充実のログ機能で運用管理担当者の負担を軽減。
  • 仮想デスクトップ環境での認証も実現。たゆみない技術革新で、限界を迎えたID/パスワード認証にかわる認証セキュリティツールへ。

全文を読む

認証精度や信頼性などに対して懐疑的な見方もある生体認証。しかし技術革新によって「使えない」という常識は過去のものになりつつある。特に注目される「手のひら静脈認証」の最新技術を紹介する。

IT部門が抱える生体認証の疑問と不安

生体認証は、決して新しい技術ではない。今から10年前に発売された携帯電話やノートPCにも指紋認証機能が搭載されていたように、古くから個人を識別・特定するのに使われてきた。しかし、企業システムへのログイン認証の手段として生体認証を積極的に導入する企業はまだそれほど多くない。そこには少なからずIT部門が生体認証の実効性や使い勝手に疑問を持っている現実がある。

IT部門が生体認証導入前の懸念として挙げるのは、センサーデバイスのコストや、対応するクライアント端末の選択肢の少なさだ。生体認証では身体的特徴を読み取るためのセンサーが必須。現在はセンサー内蔵のノートPCも数多く登場しているが、既存業務システムの改修やリプレースの際に一斉に変更する必要があり、コストが大きく膨らむケースがあった。また、予算を確保できたとしても、センサーが内蔵されたクライアント端末の選択肢は多くなく、業務に必要なスペックを満たせないといったケースもあった。

導入時にも不安がある。情報システム部門が最も気にするのは、既存システムに対する影響だ。従来のID/パスワード認証を生体認証に置き換えても、今のOSやアプリは対応しているのだろうか。相性に問題はないだろうか。もし既存システムを大きく改修しなければならないのであれば、さらにコストが必要になる。導入してから稼働するまでの時間もかかる。そうなると、利用部門からも同意が得られないだろうし、経営陣への説得は難しくなる――そのような不安だ。

さらに導入後の運用管理にも心配事がある。多数の従業員のユーザー登録をどうすればよいのか。生体情報を読み取れないユーザーからの問い合わせが増えたり、業務に支障がでたりしてしまわないだろうか。システム基盤を変更したときに、ログインできないなどの想定外の事態が起きないか――。

一方でセキュリティ対策とガバナンス強化を目的にシンクライアント端末を導入した企業からは、仮想デスクトップ環境を利用すればそもそも生体認証は不要ではないかという意見も上がっている。

かくして生体認証導入の意欲が低減。パスワード認証のリスクを知りつつ使い続ける。そんなIT部門が多かったのだ。

生体認証に対するシステム上の懸念

導入前

  • ・システム変更に合わせてセンサー付き端末へ一斉リプレースが必要
  • ・選択できるクライアント端末の制限がある

導入時

  • ・既存システムの改修の必要性
  • ・導入までにかかる時間とコスト

導入後

  • ・多数のユーザーの登録作業
  • ・システム基盤の変更への対応

センサーは小型化した?

生体認証技術に20年以上取り組む富士通は、生体認証に対するIT部門の疑問や不安の解消を目指してきた。特に富士通が今注力している「手のひら静脈認証」では、こうした疑問や不安をほぼ解消できたといえるだろう。

富士通がまず取り組んだのは、さまざまなデバイスに組み込むためのセンサーの小型化だ。手のひら静脈認証が銀行ATMや入退室管理の本人確認に利用されるようになった2004年当時、センサーは縦横7センチ四方、厚さが27ミリもあった。徐々に小型化され、2006年にはマウスに内蔵可能になり、2011年にはノートPCの筐体やキーボードにも搭載できるサイズになった。現在は2.5センチ四方、厚さ6ミリまで小型化されている。わずか10年で500円硬貨とほぼ同じサイズになったのだ。

手のひら静脈認証センサーの進化

センサーを小型化するにはレンズの薄型化と近赤外光拡散用部品の小型化が必要だった。だが、レンズを薄型にしようとすると広角になり、ゆがみが発生する懸念があった。また、近赤外光拡散用部品の小型化では、手のひらに照射する照明の均一な拡散が難しくなるという課題があった。富士通では、薄型レンズと小型化した近赤外光拡散用部品について光学シミュレーションを繰り返し実施し、ソフトウェア画像処理を最適化した。これによって従来の50%以下の厚さにし、体積では71.6%の削減を達成した。

この小型化により、ノートPCだけでなくタブレットのようなモバイル端末にも内蔵できるようになった。また、マウス/キーボード一体形センサーのような外付けデバイスの選択肢も増えていて、システムの変更に柔軟に対応できるようになっている。

既存システムの改修は必要?

導入時の不安に対しては、認証システムを簡単に構築できる専用サーバの製品化により解消した。それが「Secure Login Box」。同製品は手のひら静脈認証に対応(従来の指紋認証やIDカード認証にも対応)した認証システムを構築するための専用サーバ。ユーザーの手のひら静脈データとID/パスワードをひも付けて一括管理する。シングルサインオン機能があり、手のひら静脈認証デバイスで本人認証すると、Secure Login Boxに保存されているID/パスワードが登録されているアプリケーションに送信され、ログインすることができる。

Secure Login Boxの最大の特徴といえるのが、既存システムの改修が不要な点である。

富士通 ユビキタス戦略本部 ソリューションビジネス企画統括部 ビジネス推進部 マネージャー 和田篤志氏

「ログイン認証で生体認証を利用する場合、これまではアプリケーションを改修し、認証システムを呼び出して使うことが一般的でした。しかし、Secure Login Boxでは基本的にアプリケーションを改修することなく、簡単な設定だけで短期間のうちに既存システムへ組み込むことができます」(富士通 ユビキタス戦略本部 ソリューションビジネス企画統括部 ビジネス推進部 マネージャー 和田篤志氏)。Secure Login Boxは、アプリケーションログイン時の入力画面をそのまま使ってID/パスワードを入力する仕組み。ID/パスワードと入力画面の関連付けは、「パスワード入力画面登録ツール」を使ってマウスで設定する。つまり、元のアプリケーションの機能などは変更する必要がないのだ。

Secure Login Box自体の信頼性も高い。Secure Login Boxは基本2台構成を取り、3000人の認証に対応する。最大4台まで連係させることができ、その場合は6000人の認証が可能だ。ハードウェア障害などを考慮し、2台のHAクラスタ構成を基本とすることで信頼性を高めている。内蔵ディスクはRAID構成を取る。

Secure Login Boxに対するユーザー登録はCSVファイルによる一括登録が可能。人事データベースと連係させて、退社/入社した人のCSVファイルを日次で人事データベースから出力させて、夜間バッチでSecure Login Boxにインポートするという運用も可能で、現場担当者の負荷を下げる工夫もされている。

Secure Login Boxはセットアップ時にユーザーの手のひら静脈データの登録が必要になるが、この作業は1人につき1分程度で終了するという。

富士通 ユビキタス戦略本部 先進開発統括部 シニアマネージャー 横澤 宏氏

「手のひら静脈認証では、最初のデータ登録が大事です。なりすましを防止するためにも、健康診断のように本人を確認しながら登録することが望ましいと考えています。全国に多数の拠点を抱える2〜3万ユーザーのお客さまに導入した事例もあります。写真付きIDカードの写真を撮影する手間程度と考えていただくとイメージしやすいと思います」(富士通 ユビキタス戦略本部 先進開発統括部 シニアマネージャー 横澤 宏氏)

Secure Login Boxと組み合わせて利用するのが、センサー内蔵クライアントPCや外付けセンサー装置に標準装備する「SMARTACCESS」というクライアント側の認証ソフトウェア。クライアントPCのプロセスを監視し、OSやアプリケーションなどシステムへのログイン認証が必要になると自動的に手のひら静脈認証を立ち上げて個人のデータと突合せ、Secure Login Boxから送られてきたID/パスワードをアプリケーションに代行入力する。アプリケーションへのログインの他、Windowsのログインや、スクリーンセーバーのロックを解除するPCロックなどにも対応する。一度のログインで複数システムの認証を可能にするシングルサインオンも実現可能だ。

現場の運用管理は大変ではない?

Secure Login Box、SMARTACCESSともに運用管理は難しくない。Secure Login Boxは最大で1ユーザー当り、50種類のアプリケーションのID/パスワード登録が可能だが、上記のCSVファイルでインポートすることができる。仮に社内ポリシーで定期的にパスワードを変更するような運用を行っている場合でも、アプリケーションサーバ側とSecure Login Box側のパスワードリストを同期させることで一括変更が可能だ。バッチで処理させるようにすれば作業はほぼ自動化でき、運用管理担当者の負担は増えない。

ログ機能も充実している。Secure Login Boxでは、管理者と利用者の操作ログを取得可能。利用者については、どのPC(IPアドレスベース)がどのアプリケーションにログインを試みたかや、そのログインの結果について記録することができる。仮にクライアントPCとSecure Login Boxのネットワーク接続が切れている状態でクライアントPCがアプリケーションから認証をしようとした場合でも、Secure Login Boxと再接続した際にログが自動でSecure Login Boxにアップロードされる。

ログ情報をまとめてリポーティングする機能もある。ログ情報を分析し、Secure Login Boxの稼働状況や手のひら静脈認証の照合成功率の監視、利用者ログの容量監視、照合トラフィックの監視などが可能だ。

Secure Login Box、SMARTACCESSともユーザーのID/パスワードを管理するため、それ自体に極めて高いセキュリティが求められる。Secure Login Box、SMARTACCESSでは、ユーザーの手のひら静脈データを登録するときから実際のログイン認証時にネットワークを流れるデータまで、全て富士通の独自技術で暗号化している。たとえ標的型攻撃などでマルウェアが侵入し、暗号化されたデータが盗まれたとしても、外部にログイン情報が漏えいする心配はない。これがセキュリティ対策、特に情報漏えい対策に有効な理由でもある。

仮想デスクトップがあれば安全では?

企業は仮想デスクトップを導入することで、データをサーバ側に集め、クライアントPC側にはデータを保存しないという環境を構築できる。これによってマルウェアなどによるクライアントPCからの情報漏えいを防止できるのが仮想デスクトップの利点。だが、何らかの手段で仮想デスクトップ自体のID/パスワードが盗まれる可能性は否定できない。一度、ID/パスワードが盗まれてしまえば、ネットワーク経由でその仮想デスクトップにアクセスされ、情報を閲覧されてしまう危険がある。 SMARTACCESSには仮想デスクトップ環境をサポートした「SMARTACCESS/Virtual」も用意されている。SMARTACCESS/Virtualはこの仮想デスクトップ自体の認証を管理し、生体認証に対応させる製品。仮想デスクトップログイン後に利用するアプリケーションを含めてシングルサインオンすることができる。

さらに進化が続く手のひら静脈認証技術

富士通研究所 知識情報処理研究所 次世代認証・認可プロジェクト プロジェクトディレクター 新崎 卓氏

このような手のひら静脈認証に関連する技術の登場によって、数多くの導入事例があるのは第1回の記事で紹介した通り。富士通ではさらに認証精度を高めるための研究開発を進めている。

「今、富士通研究所では1つの手のひら静脈データから幾つもの登録パターンを作れるような研究開発を進めています。1つのデータが消失したり、何らかの原因で認証精度が低下したりしても、他のデータを使って個人を認識・特定しようというものです。こうした技術を製品化していくことで、今後はさらに手のひら静脈認証の利便性が向上していくと考えています」(富士通研究所 知識情報処理研究所 次世代認証・認可プロジェクト プロジェクトディレクター 新崎 卓氏)

高度化するサイバー攻撃の中で、従来のID/パスワード認証の限界が指摘されている。その中で生体認証は再び注目を集めている。特に技術革新が進む手のひら静脈認証は有望株だ。企業全体のセキュリティ強化を目指すIT部門にとって有力なツールになるだろう。

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。