読んでナットク!自治体ICT
2015年11月に総務省の自治体情報セキュリティ対策検討チームから発表された報告書において、個人番号利用事務について、外部ネットワークからの切り離しに加え、業務端末を利用する際の認証方法など、ハードウェアへのセキュリティ強化を行うよう公表されました。
個人番号利用事務においては、業務端末への二要素認証の導入などが必須となります。
個人番号利用事務、個人番号関係事務などで使う端末で求められる二要素認証とは、ID/パスワードに加え、ほかの要素も加えて認証を行うことです。認証に用いられる要素は次の3種類に分けられます。
要素1:ユーザーが知っているもの(Something You Know)パスワードなど
要素2:ユーザーが持っているもの(Something You Have)ICカードなど
要素3:ユーザー自身の特性(Something You Are)生体情報
二要素認証は、ID/パスワードに要素2または要素3のものを組み合わせることで実現します。一要素認証は、ID/パスワードが流出した場合に、個人情報が漏えいする可能性が高くなりますが、二要素認証では、たとえパスワードが流出した場合でも、組み合わせたもう一つの要素により個人情報の漏えいを防ぐことができるため、セキュリティレベルが高くなります。
なお、類似した認証方法に二段階認証がありますが、これは認証を2回に分けて行うもので、要素を二つ組み合わせるものではありません。
不正ログインのリスクを低減するためには、安全性の高い要素を選ぶ必要があります。パスワードは忘失や流出の可能性があり、また、ICカードなどの物理認証は盗難や紛失のリスクがあったり、複数人での共同利用が可能なため正確な個人認証が行えないなど、それぞれ不安が残ります。その点において、生体認証はユーザーの体を用いた認証のため、盗難や紛失のリスクは低減されます。
しかし、最近では生体認証でも偽造されるケースがあります。体の外部の特徴を使うものは、その特徴を真似ることが可能であり、国内でも偽造指紋を使った事件が発生するなど、悪用されないとは言い切れない事態となっています。
また、指紋に関しては乾燥や湿気、傷など、指の表面の状態に依存するため、認証しづらいケースがあり、認証率や利便性の面でも心配があります。
指静脈認証は、体の内部にある指の静脈の特徴を活用した認証方法です。日立が開発した光(近赤外光)を指に透過させて得られる静脈パターンの画像によって、個人を識別します。指をかざすだけの簡単な操作で、確実でスピーディな本人確認が行えます。指紋認証とは違い体内の情報を活用するため、偽造が困難であり、乾燥や湿気、傷など、指の表面の状態に依存して認証できないという心配も少ないのが大きなメリットです。
また、確実に個人を特定でき、誰が、いつ端末にログインしたかというログが取れるため、不正な利用を抑止するとともに、万が一事故が発生した際にも迅速な原因究明が可能です。
(2015年12月9日)
配信を希望される方へ
自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。