オンラインサービスにおける本人認証で使われているIDとパスワードでの不正アクセスがあとを絶たない状況が続くなか、NECが得意とする顔認証をはじめとする生体認証技術により「忘れない、無くさない、盗まれない」セキュアなオンライン認証を、「生体情報などの認証に必要な秘匿すべき情報」をサーバ側に送信・保持することなくモバイル端末上で実現するFIDOの取り組み、更に、FIDOとAPI-GWを活用した金融サービスの高度化について紹介します。

1. はじめに

インターネット上のオンラインサービスにおけるユーザー認証の仕組みとして、従来IDとパスワードが一般的に使われてきていますが、不正アクセスなどのセキュリティ面での課題が以前から指摘されています。特に金融機関では不正送金被害があとを絶たず、このようなパスワード認証への依存度を減らすため、生体認証技術を活用した新しいオンライン認証であるFIDO（Fast IDentity Online）が注目されています。

FIDOは2012年にFIDO Allianceが設立されて以降、強固なセキュリティと利用者の使いやすさという両面を備えた認証標準の確立というスタンスのもと、オンラインサービス利用時のパスワードレス認証の標準化を目指し、各技術仕様の策定が進められており、金融事業者、通信事業者、セキュリティベンダーなど各事業分野における大手プレイヤーが参画し、デファクト標準の仕様となりつつあります^1）。

金融機関においても、海外においてFIDOを利用したインターネットバンキングを既に提供しているところもあり^2）、今後は国内の金融機関においても、インターネットバンキングなどの各種コンシューマ向けサービスにおいて、生体認証の安全性と利便性を考慮したうえでFIDOの活用が進んでいくものと思われます。

本稿では、FIDO生体認証の活用による金融サービスの高度化について紹介します。

2. 生体認証活用の背景

オンラインサービスにおける本人認証ではIDとパスワードが約8割を占めるといわれており^3）、平成27年度中のなりすましなどによる不正アクセス行為による認知件数は2,051件で、不正アクセス後の行為は「インターネットバンキングの不正送金」が認知件数の74.6%を占めています（不正アクセス行為の発生状況（警視庁・総務省・経済産業省））。

また、IPA（オンライン本人認証方式の実態調査報告書）によると、約70%の利用者が安全なパスワードが何かを概ね知っている一方で、安全なパスワードを設定しているのは僅か13%であり、事業者側でもID・パスワード以外の認証方式の提供は約10％以下となっています。これは、認証デバイスを用いた認証は専用装置の所持が前提であることへの懸念や、パスワードポリシーを厳しくすることによるサービスの利用率の低下を危惧していることが背景にあります。

このような従来の知識認証（パスワードや暗証番号など）や所有物認証（ICカードや鍵など）に潜むセキュリティリスクを解決する手段として、図1に示すように生体認証が注目されています。

3. NECでの生体認証の取り組み

NECでは40年以上にわたり、生体認証の研究開発及びビジネスを実施してきており（図2）、世界一^4）5）の指紋認証・顔認証技術を保有しています。

一方サービスを提供するデバイスは、PCからモバイル端末（スマートフォンやタブレット）に大きく変り、モバイル端末上のアプリで認証をすることが一般的になってきています。これらモバイル端末には、カメラや指紋センサーなどが標準で具備されており、顔認証や指紋認証、更には声紋認証といった生体認証を活用することが容易になってきています。

このような背景から、サーバサイドの生体認証技術をモバイル端末へ展開することが必要であり、NECは、世界一^5）の精度・性能を持ち、更にモバイル認証向けに改良した顔認証エンジン（図3）を提供します。

4. モバイルコンシューマ向け認証の取り組み

NECでは、大手キャリアのコンシューマ向けの統合認証基盤として、NC7000-3Aシリーズでサービスを提供しており、SAML2.0/OAuth2.0/OpenID Connect/OTP（ワンタイムパスワード）/証明書認証などの各種認証サービスをトータルで提供しています。

今回、このNC7000-3A認証基盤に、新たにFIDO生体認証をラインアップに加えます（図4）。

4.1 NC7000-3A～セキュリティと利便性を両立する認証技術への取り組み～

従来、モバイル端末のサービスでは、ID・パスワードを使わず利用者を認証する仕組みとして、通信事業者が提供する回線認証を用いることで、モバイル端末の限られたUIの環境でも煩わしさを感じることなくサービスを利用することができました。

スマートフォンの普及により、通信事業者が提供するネットワークを介さないモバイルアクセスが広まると、そこでは回線認証によるユーザー認証が適用できず、サービス利用者は安心したサービス利用のためID・パスワードや、その他煩わしい操作が必要となるユーザー認証を行う必要がありました。

それに対し、NECは2012年の高セキュリティの証明書技術を活用した、セキュリティと利便性を両立する認証・セキュリティソリューションを発表しました。また2016年には独自のデバイス認証機能を提供するなど、この分野における取り組みを推進してきました。

4.2 FIDOの概要

FIDOには大きく分けて（1）UAF、（2）U2Fという2種類の規格があります。

本項では生体認証である（1）のUAFの取り組みについて説明します。

FIDOの最大の特徴は、すべての手続きにおいて生体情報などの個人に紐づく情報がいっさい端末の外部へ送信されないことです。これにより、例えば顔の特徴点などの生体情報がネットワーク上を流れることはなく、またサービス事業者のサーバに保管されることもないため、万が一の場合にサーバから漏えいするといったこともなく、非常に安全性が高まります。

FIDOではこれを、（1）端末内部での本人認証と、（2）PKIベースで「本人を認証した結果」をサーバサイドへ送信する、という2つのフェーズで実現しています。

具体的には、ユーザーのデバイス内にある「Authenticator」と呼ばれる認証器が、生体情報などを使って本人認証を行った後、認証器が本人確認結果に秘密鍵を使って署名してサーバサイドへ送信、サーバサイドでは事前登録された公開鍵を使って署名を検証し、認証を完了します。なお、秘密鍵と公開鍵のペアは初回のユーザー登録時に生成、登録されるものを利用します。

4.3 利用イメージ

ユーザーがFIDOによりログインする手続きは非常に簡単です。典型的な利用イメージは図5に示すとおり、ログインボタンを押下したあとに、スマートフォン上の指紋センサーに指をかざしたり、カメラに顔をかざすことで認証が行われます。

4.4 NC7000-3A-FS（FIDOサービス）

3A-FSは、FIDO UAF 1.0に準拠した認証ソフトウェア製品で、生体認証による高いユーザー利便性と安全性を実現します。

3A-FSは、図6の構成で、（1）FIDO Server、（2）FIDO Client/ASM/Authenticator（指紋、顔認証）を提供します。

サーバのみ・クライアントのみの利用も可能で、FIDO仕様準拠を示すFIDO Allianceのcertified products*として認定が完了しています^6）。

サーバ、及びクライアント両方の認定を受けるのは国内メーカーとしては初（弊社調べ2016/12）であり、FIDO生体認証のサービスをワンストップで提供します。

今後、静脈認証や声紋認証などの技術を随時本製品に取り入れることで、複数の生体情報を用いて本人認証を行う「マルチモーダル認証」を実現します。マルチモーダル認証は複数の生体情報を用いてユーザーを判定する生体認証技術であり、世界の金融機関における本人確認技術の1つとしても注目されており、利用拡大が見込まれるソリューションの1つです。ID・パスワードよりも確実で使いやすい次世代の認証方式として検討が進められています。

4.5 NEC独自のセキュリティ実装

近年のモバイルアプリケーション開発においては、サーバだけでなく端末への攻撃も増加しています。FIDOのように、端末内で認証情報保管や暗号計算を行う仕組みの場合には、端末内のセキュリティが重要となります。3A-FSのFIDO Authenticatorでは端末側の情報をもとにした独自のセキュリティモジュールを搭載しています。更にセキュリティモジュールには、強固な難読化を施しています。これらによって、マルウェアや外部の悪意のあるアプリケーションからの不正利用、ハッキングを防止しています。

またNECでは長年、中央研究所のセキュリティ研究所において暗号方式などの研究を行っています。高速秘密計算による認証情報の強固な漏えい防止など、NECの最新の独自暗号技術についても随時取り入れていくことを今後予定しています。

5. オープンAPIへの対応

全国銀行協会では「オープンAPIのあり方に関する検討会」を設置し、銀行システムへの接続仕様をFinTech企業などに公開（オープンAPI）し、金融機関とFinTech企業などとの連携を通じた金融サービスの高度化を検討しています。

金融機関で自社のサービスをAPIとして公開し、ユーザーと銀行及びFinTech企業などを安全に利便性よく結ぶためには、生体認証で認証し認証情報（トークン）を連携する仕組みが必要となります。

NC7000シリーズであるNC7000-WGにおいてAPI-GWを既に提供しており、生体認証基盤であるNC7000-3Aと連携したアクセス制御などにより、オープンAPIが要求するセキュリティ対策に迅速に対応することが可能です。

このAPI-GWと統合認証基盤の組み合わせにより、Connected Economy/Open API時代の新プラットフォーム（図7）を提供していきます。

6. むすび

本稿では、モバイル生体認証の取り組みについて紹介しました。金融機関でのFIDO活用による金融サービスの高度化を進めるとともに、独自のセキュリティ技術も組み合わせながら、将来的にさまざまな領域でインターネットにつながるデジタル端末、家電などIoTセキュリティソリューションへの展開も見据え、技術開発、製品化を進めています。

参考文献

執筆者プロフィール

関連URL