本人認証とその技術の比較考察 日本セキュアテック研究所 鵜野 幸一郎 本人認証 あらゆるセキュリティ要素技術を考慮する前に すでに 存在していなければならない基礎的な与件 技術系 技術系 暗号 運用管理系 人間系 診断・監視 モラール 監査 啓蒙 PKI SSL/VPN ファイアウォール フィルタリング 保険 教育 セ キ ュ リ テ ィ 強 度 暗号 運用管理系 人間系 診断・監視 モラール 監査 啓蒙 PKI SSL/VPN ファイアウォール フィルタリング 保険 教育 本人認証 (基礎的な与件) 本人認証 (基礎的な与件) 悪意側 脅威 なりすまし 悪意側 脅威 なりすまし 本人認証の要件と条件 1.単独で使える【自立している】技術であること。 (単独では使うことのできない【自立していない】技術は他の認証 手段の補強ツール以上の存在ではありえないことが自明である) 2.本人認証に求められる機能と効果は、本人を排除することなく他人を 有効に排除すること。 3.本人を排除しないようにすると他人を有効に排除できなくなる技術は 本人認証技術としては不適格。 4.他人を排除するには有効だが時には本人も排除してしまう技術は (本人排除による業務不能を許容できない環境では)セキュリティ 強度の崩壊を招かずに本人排除問題を解決することができない限り 本人認証技術としては不適格。 5.セキュリティにおいては、全体のレベルは最大の長所によって得られ るのではなく最大の弱点によって決まる。本人認証技術の異種技術の 併用は長所が加算されるだけでなく同時に弱点も加算される。 本人認証技術の検討項目 (A)セキュリティ面(Security) ・本人を排除することなく他人を有効に排除する機能を有しているか。セキュリティ強度 はどのような条件下でも強いのか。 ・フィッシング詐欺やスパイウェア対策は可能か。 (B)信頼性(Reliability) ・リバースエンジニアリング、解体・解読、変造、コピーの作成など悪意側の対抗手段 への信頼性は確保されているか。 (C)完全性(Integrity)自立性 ・自立して単独で本人認証を完う(まっとう)できる技術か。 ・悪意側が資金力と時間と熱意をかけたら本人認証技術を突破できるか、無駄骨になるか。 (D)いつでもどこでもだれでも有効な面(Availability) ・認証、登録共いつでもどこでも誰でもできるのか。 (E)ユーザに優しい面(Usability) ・人間の性(さが:物忘れ)に優しいか。お年寄り、子供、ハンディキャッパーの考慮。 ・プライバシーもしくは人間の尊厳に配慮しているか。 (F)ユーザ登録のサービス機能(Serviceability) ・ユーザ登録(初期、更新、削除)がいつでもどこでも容易にできるか、手間がかかるか。 (G)TCO(Total Cost of Ownership) ・初期導入、ユーザ登録、認証実施、運用管理など当該認証技術を採用以降の全ての費用。 本人認証技術の検討項目の比較サマリー A. セキュリティ面 検討項目 セキュリティ 強度 本人を 排除せず 他人のみ を排除 認証技術 1 文字パスワード 暗証番号 2 フィッシ ング偽 サーバ 対策効果 端末 乗っ取 り型ス パイ ウェア 対策効果 B. C 信頼性 完全性 自立性 D. いつでも どこでも 誰でも 有効な面 E. ユーザにの優しい面 ユーザに 人間の 優しい 性(さが)に (プライバ 優しい シー (物忘れ) 盗難) F. ユーザ登録 のサービス 機能 (どこでも) G. TCO ×~△ × × △ × △ ○ × ○ ○ △ 生体照合 ×~△ 評価不能 × × × × × × ○ × × × 3 所持物照合 ×~△ 評価不能 × × △ × × ○ × × × × 4 生体・所持物照合 (パスワードOR 併 用) × × × × × × × × × × × 5 ニーモニックガード ○ ○ ○ △ ○ ○ ○ ○ ○ △ ○ (A)セキュリティ面(Security) (1)パスワード a.覚えやすいものは盗まれ易く、盗まれにくいものは思い出せない。 b.厳格管理は隠れメモ依存を引き起こす。3回ルールは盗まれるパスワード依存か隠れメモ依存に帰結する。 (2)生体計測技術 a.本人拒否を放置できる環境では有効だが、本人拒否時の救済策の他人排除力に左右してしまうので有効性の証明不能。 b.本人拒否率をゼロとする閾値設定の場合の他人排除率を発表しているメーカーはない。 ⇒ 他人受容率をゼロに近づけると本人拒否率がROC曲線に沿って急上昇。 c.AND併用の場合には本人拒否を許容できないので閾値を下げざるをえない。本人拒否率をゼロに近づけると他人受容率が ROC曲線に沿って急上昇。他人排除急低下対策に依存するパスワードは上記の通りの弱点を抱えたもの。 (3)所有物照合 a.盗用には効力ゼロ。 b.不所持vsつけっぱなしのジレンマ。 c.暗証番号なしのキャッシュカードと同じようなもの。 (4)上記組合せ a.AND併用では他人排除だけでなく本人排除・拒否率も上昇するので、有効性の証明が不能。 b.OR併用では一番脆弱な手法が全体のセキュリティを決定するので、セキュリティは低下。 (5)生体・所有物照合組合せ(パスワードOR併用) a.併用するパスワードのセキュリティ強度を上回らない。 b.恐らく使わないあるいは滅多に使わないと予想して登録するバックアップ用パスワードは脆弱なパスワードの中でも最も脆弱 c.上記(2)の生体計測技術の問題点を抱える。 (6)ニーモニック ROC曲線 100 a.本人認証で80ビット級の強度が証明可能。 b.他人排除(他人断定)を早い段階で判定可能。 ⇒ 脆弱の可能性:不注意なユーザには高いセキュリティを提供できない。 (7)他 他 a.PKI(公開鍵基盤)、ワンタイムパスワード、秘密分散法、 人 Identity Managementは本人認証技術ではない。 受 「扉」の強化は、「鍵」の強化にはならない。 容 率 [注] ROC曲線:Receiver Operating Characteristic curve(照合精度特性曲線) 本人の集合に対する本人拒否の分布と他人の集合に対する他人受容の分布を求め、 これを判定する閾値をパラメータとして累積確率を縦軸(他人受容率)、横軸 (本人拒否率)としてプロットされる曲線。ROC曲線は、生体照合方式自体の 能力の評価と閾値設定の2つの役割がある。 0 本人拒否率 100 セキュリティ面 比較項目 本人を排除せずに 他人のみを排除するか (最重要項目) 他人排除力 認証技術 1 文字パスワード 暗証番号 2 生体照合 3 所持物照合 × △ × 簡単に覚えられるものは他人排除力 に欠ける △ ○ × 指紋など複製可能なものは他人排除 力に欠ける △ ○ 生体・所持物照合 5 ニーモニックガード 評価マーク (パスワードOR 併用) ×: 気休めにもならない × 原理的に本人拒否を伴う 紛失、置忘れVSつけっぱなしのジレ ンマ △ 他人排除を重視すると、質問対応・ 再発行コスト上昇 パスワードAND併用は、もし有効で あれば他人排除率とともに本人排 除率も上昇させる × 盗用に対して無力 4 他人を排除できるものは覚えられず、 本人も排除 課題/特長 パスワードAND併用は、もし有効で あれば他人排除率とともに本人排 除率も上昇させる × 異種複合化は短所の組合せになる 救済用パスワードは最も脆弱で他人 排除力を崩壊させる ○ △: 気休め程度 ◎ ○ ○: 実用性あり ◎ いつでも、どんな場所でも、どんな 環境でも、たとえパニック状態でも、 誰にでも実行可能 ◎: 使いやすくセキュリティ強度も高い 更に詳しく 比較項目 認証技術 数学的強度 (ユーザの名前・身元を知られている環境) ・慌てても焦っても3乃至5回以上間違うことなく思い出せると確信でき るものしか登録できない。候補が10個以上もある人は稀である。覚え られずにメモをして隠したり携帯すれば安全性は崩壊する。(例外的な 記憶力の持主は対象としない) 文字パスワード 暗証番号 覚えられる本人関連文字情報 メモされた4~32桁文字情報 生体照合 本人拒否= 業務不能 本人拒否を許容できない環境では 評価不能 本人拒否許容環境では 顔見知り認証など他の手法に依存 ・識別技術としての有用性 ≠ 認証技術としての有用性 ・本人の責任ではない本人拒否 ・複製技術とのイタチゴッコの宿命: 指紋・顔・虹彩・声紋については偽造報告あり ・プライバシー問題・人間の尊厳毀損の問題 3 所持物照合 付けっぱなし 0ビット 紛失・置き忘れ=業務不能 本人排除を許容できない環境では 評価不能 本人排除許容環境では 顔見知り認証など他の手法に依存 ・偽造防止技術の要件 ≠ 本人認証技術の要件 4 生体・所持物照合 (パスワードOR 併 用) 併用するパスワードのレベルを上回らない 0~3ビット相当 ・恐らく使わない或いは稀にしか使わないと予想して登録するバック アップ用パスワードは脆弱なパスワードの中でも最も脆弱。 50ビット以上可能 11~16ビット相当 ・長期記憶化している視覚イメージを認証データにするのだから負担 はなく思い出せないこともありえない。主観的なもので且つ昔の記憶を 使えば第3者による採集は極めて困難となる。 ・本人・他人峻別機能によってユーザにはストレスをかけず、他人は早 期に排除できる。 1 2 5 ニーモニックガード 64個以上の中の8個以上選択すれば 16個の中の4個選択でも 2~5ビット相当 0~3ビット相当 備考 (B)信頼性(Reliability) (1)パスワード a.悪意側による自動プログラムによる辞書攻撃・パスワード固定ID総当り攻撃 (2)生体計測技術 a.悪意側によるコピーの可能性 ⇒ 指紋、静脈、虹彩、顔、声紋、については偽造報告あり b.悪意側による機器改造や機器ソフトの改変の可能性 c.悪意側による生体認証データ(DB)盗用の可能性 d.プライバシーおよび人間の尊厳毀損の問題 医療情報としての利用の可能性 (3)所有物照合 a.悪意側による盗用の可能性 b.悪意側による機器改造や機器ソフトの改変の可能性 (4)上記組合せ a.異種複合化は短所の組合せ (5)生体・所有物照合組合せ(パスワードOR併用) a.上記 (2)+ (3) (6)ニーモニック a.シンボル毎8ビット乱数発生、照合データのハッシュ化、認証DBとの間の暗号化通信・・・などにより信頼性確保。 b.上記a.にも拘わらず最悪側のリバースエンジニアリング等でロジックを全て解析されてもニーモニック認証の強度は担保される。 c. フィッシング詐欺、スパイウェアに強い。 (C)悪意側に対する完全性(Integrity) 自立性 逆に言えば発展途上の技術でなく熟成された技術 逆に言えば他の認証技術の補完不要 (1)パスワード a.自動プログラムによる辞書攻撃・パスワード固定ID総当り攻撃 (2)生体計測技術 a.悪意側とのイタチごっこ (3)所有物照合 a.悪意側とのイタチごっこ (4)生体・所有物照合組合せ(パスワードOR併用) a.悪意側とのイタチごっこ (5)ニーモニック a.悪意側の金と時間を費やしての研究に影響なし b.覚えられるものは破られやすく、破られにくいものはおぼえにくい b.本人拒否の救済要 = 救済策の追加によるセキュリティ急低下 b.なりすまし防止に所有者認証要 b.本人拒否の救済要 b.自立しており単独で高い認証強度 [注] パスワードAND併用の生体認証もありえるが、これは脆弱なパスワードの補強手段として他人排除力のない生体認証 が使われているという以上のものではない。 信頼性 と 完全性 信頼性 比較項目 完全性 複製 機械変造 辞書攻撃 総当り攻撃 DB盗難 悪用 完全性 自立性 認証技術 1 文字パスワード 暗証番号 - - × ○ 自動プログラムによる辞書攻撃 パスワード固定ID総当り攻撃 覚えられるものは破られやす く、破られにくいものは覚えに くい 2 生体照合 × × ー × 悪意側とのイタチごっこ 本人拒否の救済要 3 所持物照合 × × ー ○ 悪意側とのイタチごっこ なりすまし防止に 所有者の認証要 4 生体・所持物照合 (パスワードOR 併 用) × × × × 悪意側とのイタチごっこ 本人拒否の救済要 5 ニーモニックガード - - ○ ○ 悪意側の金と時間を費やしての研究 に影響ない 単独使用で高い認証強度 (D)いつでもどこでもだれでも有効な面(Availability) (1)パスワード a.初期登録:いつでもどこでも b.認証:いつでもどこでも (2)生体計測技術 a.初期登録:読取装置の設置要 管理者との対面登録要 b.認証:読取装置の設置要 管理者による救済(本人拒否時) c.適用業務毎読取機器の標準化(例:携帯電話、PC、入退室、社員ICカード、USBトークン) d.SSOとしての利用難 (3)所有物照合 a.初期登録:管理者より手渡し、書留郵送 b.認証:読取装置の設置要 c.適用業務毎読取機器の標準化(例:携帯電話、PC、入退室、社員ICカード、USBトークン) d.SSOとしての利用難 (4)上記組合せ a.異種複合化は短所の組合せ (5)生体・所有物照合組合せ(パスワードOR併用) a.初期登録:生体読取装置の設置要 管理者との対面登録要 管理者より手渡し乃至書留郵送 b.認証:生体読取装置+電子所有物読取装置の設置要 (6)ニーモニック a.初期登録:いつでもどこでも b.認証:いつでもどこでも c. SSOとして利用可能 (E)ユーザに優しい面(Usability) (1)パスワード a.覚えやすいもの(誕生日、電話番号等)は盗まれ易い b.盗まれにくいもの(8桁以上の無意味な英数特殊文字組合せ等)は思い出せない c.パニック時(上司や顧客に怒鳴られたとき等)には思い出しにくい (2)生体計測技術 a.正常時:触れる乃至近づくだけ、瞬時に認証、高い利便性 b.本人拒否時:同等以上の他人排除力を確保するのであれば利便性は悪化 c.プライバシーおよび人間の尊厳毀損の問題、生体認証データの管理の問題 (3)所有物照合 a.携行時:読取機器に挿入するだけ、瞬時に認証、高い利便性 b.不所持(家に置き忘れ、遺失、盗難)のリスク (4)生体・所有物照合組合せ(パスワードOR併用) a.上記 (2)+ (3) (5)ニーモニック a.表示されている図絵写真から登録したものを数枚選ぶ b.老若男女でも容易に実施可能 [注] c.愛着ある写真を使うと認証する作業が面倒どころか楽しみにすらなる( ヒューマンクリプト に合致) d.パニック状態(上司や顧客に怒鳴られたとき等)でも有効 e.認知症の患者はそれなりに識別し正しく操作できなくなる。本人に意思能力のない場合でも認証ができてしまう 生体計測技術や所有物照合に対し、ニーモニック認証は認知症の場合にはできない、即ち、やらせてはいけない ときに自動的に歯止めがかかる、という点でもユーザに優しいすぐれもの。 [注] ヒューマンクリプト:東京大学の今井秀樹教授により提唱された言葉で、人とコンピュータに関わる情報セキュリティ面から総合的に最適化 するための技術。特に人とシステムのインターフェースからの観点が中心。 ユーザに優しい面 人間の性(さが) 比較項目 認証技術 忘却 置忘れ 不所持 盗難 プライバ シー - 1 文字パスワード 暗証番号 × - - - 2 生体照合 - ー ー ー 3 所持物照合 - × × × 4 生体・所持物照合 (パスワードOR 併 用) - × × × 5 ニーモニックガード ○ - - - × ー × ー ヒューマン クリプト に合致 × × × × ○ (F)ユーザ登録のサービス機能(Serviceability) (1)パスワード a.登録が簡単 b.いつでもどこでも登録可能 (2)生体計測技術 a.登録が手間(登録機器および管理者立会い) (3)所有物照合 a.登録が手間(管理人より手渡し、書留郵送) (4)生体・所有物照合組合せ(パスワードOR併用) a.登録が手間 (5)ニーモニック a.登録が手間、高齢者では画面作成補助が必要 b.いつでもどこでも登録可能 (G)TCO(Total Cost of Ownership) (1)パスワード a. 導入経費:、無料 b.運用経費は米国では年間一人当たり平均約300ドル(米国に於ける調査レポート有り) c. ヘルプデスクへのパスワード問合せ増加傾向(パスワードの無意味化、複雑化、メモ禁止の全国的な推進) (2)生体計測技術 a.機器価格(数千円~5万円)+運用コスト+保守コスト 悪意側の凌駕対応コスト (3)所有物照合 a.デバイス価格+読取機器価格+運用コスト+保守コスト 悪意側の凌駕対応コスト (4)生体・所有物照合組合せ(パスワードOR併用) a.上記 (2)+ (3) (5)ニーモニック a.製品価格はあらゆる生体認証製品、所有物照合製品、ワンタイムパスワード製品、より安価、 しかも桁違いに安い。 参考1. ニーモニックガードの「弱点」について考察 「弱点」として指摘されていたのは (1))どんなに不注意なユーザでも高い安全性と利便性を得られるということまでは出来ないこと。 (2)やはり面倒であることは否定できないこと。 (3)攻撃者に完全に乗っ取られた端末機上ではニーモニック認証を安全に運用するのは容易ではないこと。 (1)生体照合なら意識のない人でも或いは死人ですら本人認証できるのに比べると余りに使い勝手が悪いではないかというものであるが、意識の ない人や死人に関しては「個人識別」はありえるが、権利・義務の履行機会の付与・剥奪に関わる「本人認証」はそもそも存在しない。また、所持物 はその時に持っていなければお手上げである。つまり、どんなに不注意なユーザにでも使える本人認証技術というものは元来存在しない。 そこで、(1)本人が注意すれば高い安全性を得られ、本人が注意をしている限りは安全性が損なわれないのか、或いは(2)本人がいくら注意をし ても本人の注意と無関係の原因・理由で安全性が損なわれてしまうことが容易に起こり得るのか、が真の問題であることに気付くであろう。何が (1)であり、何が(2)であるかはご賢察の通りであろう。 (2)面倒なしに高い安全性を実現できればそれが一番だが、問題はそんな本人認証技術があるのか或いはあり得るのかということである。指や手 を置くだけで本人認証ができる技術があるではないかとお考えの方は、次頁の「自立できない」照合技術に関する考察をご参照頂きたい。 鍵もなしに暮らせた地域でも高速道路が通じて都会の犯罪者からのアクセス圏に入ってしまうと、それ以後は外出や就寝のたびに鍵をかけねばな らず、近所で被害が出ると2階の窓にも鍵をかけねばならず、外出するたびに、帰宅するたびに就寝し起床する度に、全部の鍵を掛けたり外したり、 更に治安が悪くなると鍵を全て2重にして ・・・・・・・・ 面倒ではある。しかし、やむを得ないことなのだ。犯罪者も昔より遥かに高い教育を受けている時代である。情報セキュリティを維持するためには或 る程度の手間をかけざるを得ない社会に生きているという事実を直視するしかないのである。 (3)端末が攻撃者に完全に乗っ取られた状況を考えると、これは端末で扱う全ての情報を盗られることを防げない状況なのであるから、認証データ だけを守っても不十分であり、根本解決は端末を乗っ取られないような方策を講じることだとは思われるが、ともあれニーモニックガードの運用性確 保については当社では次の3つの解決策を提供可能である。 ・大量の囮画面と同じく大量の登録画面を使う予備的認証プロセスを導入する。 ・ニーモニックガードを多対1写像方式で運用する。 ・(携帯電話へのマルウェア送り込みは困難との前提で)携帯電話でのニーモニック認証を経てPCからのアクセスを行う。 参考2 「自立した」ユーザ認証手段と「自立できない」照合技術に関する考察 「自立した」ユーザ認証手段および自立できない」照合手段の判断基準は、他の照合手段(一般には暗証番号・パスワード)との併用に頼らずに 単独で必要な安全性と利便性を提供できるかどうかになる。 銀行カードを持ってさえいれば預金を下ろせる方式で安全に預金を守れる、つまり暗証番号の併用は不要だ、と言い張る人はいないであろう。つ まり、何かの持ち主を本人とみなす所持物照合は自立していないことが明白である。 ANDでパスワードを運用している生体照合システムでは、生体照合はパスワードを補強しているとは言えるかもしれないが、自立した本人認証手 段と呼ぶことができないのは明らかである。ORでパスワードを運用している生体照合製品は、これは利便性向上手段でしかない。 即座に救済にかけつけてくれる管理者やパスワードに一切頼ることなく運用できる生体照合(モバイル環境を想定して本人拒否率を完全0%とす る閾値設定を行った場合でも、偽造排除も含めて十分に高い他人排除率を得られるもの)があれば、これは単独で自立できる認証技術と言える であろう。ただ当社はそうした生体認証製品の存在を未だかつて認知していない。 こうした判断軸に立つと、パスワードを併用している、つまり単独で自立できていない照合技術があたかも一人前の認証技術であるかの如くまか り通っている現在の状況はまことに不可思議な状況である、ということになる。 改めて整理すると ・パスワードをANDで併用する所持物照合は実はパスワード認証の補強ツール以上のものではない。 ・パスワードをANDで併用する生体照合は実はパスワード認証の補強ツール以上のものではない。 ・パスワードをORで併用する生体照合は(利便性向上と引き換えに)セキュリティを下げることに寄与しているだけ。(これをあたかもセキュリティ 向上効果があるかのごとく見せかけるのは、単なる優良誤認を超えて、低血圧症で悩んでいる人に血圧上昇剤だと偽って血圧降下剤を飲ませる ようなものと言える。) ・医療・遺伝情報でもある究極の個人属性情報であり同時に終生不変の個人特定情報でもある市民の生体情報を赤の他人に記録させることに 伴う副作用リスクを完全に分離でき、且つ他の照合手段に一切依存せずに単独で自立できる生体照合技術が登場した時には、これは本人認証 技術分野においてニーモニックガードに競合し得るものとして認め得ると考える。
© Copyright 2024 ExpyDoc
