開発者に聞く

このコーナーでは、日立製作所の研究所等で研究・開発を行っている技術テーマを中心としたコラムをお届けします。 研究員にインタビューを行い、技術テーマ解説・開発過程におけるエピソードなどを交えてわかり易くご案内いたします。

生体情報の漏えいを強固にガードする「プライバシー保護型生体認証技術」

■ 生涯不変の生体情報をいかに守るか

−　まずは今回の技術を開発した背景から教えてください。

高橋：　指静脈や指紋、顔認証といった、各人の持つ生体情報によって個人を識別するシステムは、そのセキュリティ性の高さから、銀行ATMや入退室管理など、さまざまな分野で使われています。しかし、生体情報は個人の固有情報であるため、パスワードのように自由に変更することができません。情報が漏れた場合、パスワードならそれを破棄・変更してもう一度安全な状態にできますが、生体情報は変えられないため、それをもとに偽造生体が作られてしまうと、もうそれは認証用の情報としては二度と使えなくなってしまうわけです。また同時に生体認証はセンシティブな個人情報にもあたるため、個人情報保護の観点からも厳密な管理が要求されているのです。

三村：　もちろん現在も、登録された生体情報の漏えいを防ぐための技術はきちんと確立されています。例えば指静脈認証ATMなどでは、高い耐タンパ性※1を持つICカードのチップ内で生体情報を保管・照合する方式をとっていますから、安全性に問題はありません。その代わり、生体情報を収めるICカード、それを読み取るリーダーなど、それなりのコストは必要です。 　一方、ICカードを利用せず、Webシステムのログインなど、ネットワークを介して本人確認を行う生体認証システムでは、一般に利用者の登録生体情報をサーバ側で集中管理し、照合処理を行っています。このようなサーバ認証型のシステムでは、これまでネットワークやデータベースの暗号化、管理者認証によるアクセス制限などによって生体情報の漏えいリスクを低減し、安全性を確保してきました。しかし今後、攻撃手法の高度化が予想されるため、さらにセキュリティを高める必要性が出てきたのです。 ※1 耐タンパ性：半導体チップなどの内部解析や改ざんを物理的および論理的に防衛する性能。

−　どのような攻撃が考えられるのですか。

高橋：　例えば生体情報を照合する際には、暗号化された情報をサーバの中で復号する作業が行われます。その一瞬のタイミングをねらった攻撃が将来も起こらないとは限りません。また生体情報を暗号化・復号化する際に使われる暗号鍵も、システム管理者が安全に管理していることを前提にセキュリティが保たれていますが、何らかの内部不正があった際には、何千人、何万人もの登録生体情報が一気に流出する危険性も否定できないのです。そこでわれわれは、こうしたリスクを極小化するため、サーバに対しても生体情報を秘匿したまま認証を行う技術を開発しようと考えました。

■ 生体画像をランダム化したまま照合できる

−　どのような技術なのでしょうか。

三村：　一言で言えば、暗号化に相当する特殊な数学的変換によって生体情報をランダム化画像、つまり人からはノイズにしか見えない画像に変換し、それを元に戻すことなく照合するという技術です。われわれはこれを「プライバシー保護型生体認証技術」とよんでいます。

高橋：　システム処理の流れを簡単に説明しましょう（図）。まず登録時にクライアントがセンサーを介して利用者の生体画像を取得し、この画像をランダム化してサーバに送ります。サーバはこのランダム化画像をデータベースに登録しますが、それを元に戻す暗号鍵に相当するパラメータはクライアント側に保管し、サーバに対しては秘密にしておきます。 　認証時は、クライアントが利用者の生体情報を再び取得し、保存してあるパラメータを使って、今取得した生体画像をランダム化し、サーバに送ります。サーバは受け取ったランダム化画像と、登録してあったランダム化画像を突き合わせ、それが一致しているかどうかを判定します。このようにサーバは、データを受け取る際には常にランダム化画像のみしか受け取れず、それを元に戻す手段を持ちません。このため、プライバシーと高セキュリティを両立させたサーバ認証型生体認証システムを今まで以上に容易に実現できるのです。

（図） 従来の漏えい対策とプライバシー保護型生体認証のシステム処理の流れ ※クリックして拡大図をご覧下さい

−　どうして元に戻さずに照合できるのですか。

高橋：　登録時と照合時に取得・変換された2枚のランダム化画像は、それぞれ見た目にはまったく違った画像に見えます。しかし同じ人物の生体情報を、ある種の構造をきちんと保ったまま変換したものなので、数学的には非常に近い情報を持つものどうしなんですね。今回われわれは数論変換※2によって生体画像の変換と照合を可能とする技術を開発したわけですが、この方式ですとランダム化された画像のまま、2枚の相関関係をきちんと判定できる、つまり数学的に“近い生体情報”なのかどうか計算できるため、画像を元に戻す必要がないというわけです。 ※2 数論変換：有限体上で定義されるフーリエ変換。巡回畳み込みの性質を持ち、2つのデータ系列の数論変換後の積が、データ系列どうしの巡回畳み込みに対する数論変換に対応する。

■ 低コストで高セキュアな生体認証システムを実現

−　なるほど。この技術を使えば、サーバに保管されたランダム化画像が盗まれたとしても、セキュリティ上の心配はなさそうですね。

高橋：　確かにサーバの中のランダム化画像が仮に漏れたとしても、ここから元の生体画像を復元することはできません。しかし念には念を入れるということで、そうした場合はもう一度、クライアント側でパラメータを作り直し、登録画像も変換し直して再登録するという手順を踏みます。つまりパスワードと同様、登録情報を破棄・更新できるというのも、プライバシー保護型生体認証技術のもう1つの大きな特長になっています。

−　どのような適用分野が考えられるでしょうか。

三村：　ネットワークを利用した生体認証システムに広く適用できると考えています。“ICカード型の生体認証システムほどコストはかけられない。しかし高い安全性はどうしても必要だ”というようなシステム−−例えばネットバンキング、あるいはネットショッピングのクレジット決済のように不特定多数のコンシューマが使うような生体認証システム、そして企業内システムへのセキュアなログインなどにお勧めしたいですね。

高橋：　企業での使い方を想定しますと、オフィス内はもちろん、自宅のPCから会社のネットワークに接続して作業を行う際などに、厳密な本人認証と重要データへのアクセス制御などを安心して行うことができます。また、すでにこうした生体認証システムを導入しているお客さまは、ICカードやICカードリーダーなどの追加投資をせずとも、より高いセキュリティを実現していただくことができます。

−　すでにネットワーク型の生体認証システムをお使いのお客さまには、コストをかけずに、より高いセキュリティを提供できるというわけですね。

三村：　はい。今お使いの機器はそのままで、ソフトウェア的な変更のみで対応できると思います。またその際には、すでにサーバに登録されている生体情報を利用して、新たに登録していただなくても新システムへ移行できるような仕組みを開発している最中です。

−　より低コストに安全性の高い生体認証システムが実現できるなら、さまざまな分野でセキュリティの高い生体認証の普及が一気に進んでいくかもしれませんね。これからの製品化に期待しています。本日はどうもありがとうございました。

（次ページへ）

[ Back ]　2 / 3　[ Next ]