生体認証だけで良いのか?その資産が狙われやすい金融分野では利便性の高い生体認証のみという選択はまだ進化が必要だとEUは判断したと思われる記事がForbesに出ていました。
forbesjapan.com
ヨーロッパに住む人の多くは、来年のある日、モバイルバンキングの口座にログインするのが面倒になったことに気がつくはずだ。
指紋認証や、アップルの顔認証システム「Face ID」など、生体認証を使ったセキュリティシステムは、ここしばらくの間、手間やサービス間の断絶がないフリクションレスなモバイルバンキングに不可欠なものだった。しかし、欧州連合(EU)の新しい規則は、モバイルバンキングを利用する際に、生体認証だけでは安全性が十分ではないと判断している。
この結果、ヨーロッパ各地の銀行は、パスワードや秘密のフレーズ、秘密の質問、カードリーダーを使ったやり方に戻ろうとしている。
「バンキングの手続きが、より面倒になるのは間違いない」とForbesに対して述べるのは、スコットランドのクライズデール銀行、および、イングランドとウェールズにあるヨークシャー銀行の決済/オープンバンキング部門を統括するマーク・カランだ。
こうした変更は、以前の規制を改正した新しい「決済サービス指令(PSD2)」が2019年9月14日に施行されるのを前にした最終段階の一環だ。
PSD2は、口座へのログインなどの基本操作についても、2要素認証の安全対策を取るよう、各銀行に求めている。
(Fobes記事より引用)
◆キタきつねの所感
実験ベースになるものも含まれますが、2-3年前に展示会などでFinTechベンチャーが発表していた生体認証アプリを触った際には、生体認証(顔認証)の機能も例えば蛍光灯下では認識が低かったり、認証スピードが実用ベースではなかったり、登録が面倒だったりと、各社の機能実装にも拠るのでしょうが正直実用ベースではないものもありました。
アップルのFaceIDに代表されるような各社の努力によって最近は洗練されて、実用レベルでも十分になってきた気がしますが、セキュリティの設計思想に関しては・・・例えば生体情報の保管場所や安全性などを説明員の方に聞いた時、かなり怪しい説明を受けた事から考えると、玉石混合の生体認証を採用したEUの金融機関が、その事実を把握したという事なのかな、という気がします。
とはいえ、日本でもFIDOを代表とする規格に基づいた製品・サービスが出てきており、セキュリティがより考慮された実装例も出てきています。
FIDO Alliance - FIDO Alliance
一方でハッカー、あるいは最近では大学の先生などを含むホワイトハッカーまで含め、まだ歴史が浅い生体認証技術の脆弱性を探ろうと日夜『研究』を続けてきており、脆弱性が見つかった例も多々あります。
金融分野の中でも生体認証技術の導入に動きへの取り組みが早かったのがモバイルバンキング分野であり、特にEUでは日本よりも早く生体認証の実証が始まっていました。
今回のPSD2の2019年施行は、生体認証ももう少し安全性が確立されるまで時間が必要。そんなEUの結論と言えるかも知れません。
どういった脆弱性を評して2要素認証(多層防御)に戻すのかは分かりませんが、ログイン認証(金銭取引が発生してない部分)まで2要素認証が必要と整理したのは、それなりの攻撃事例の根拠(ヒヤリハット?)があった気がします。
セキュリティ施策に『絶対』はなく、非常に期待される技術である生体認証であり、流行のFinTechとして取り組みたい銀行側の強い意向がある背景で、EUは利便性より安全性を取った、この意味が大きいかも知れません。
生体認証のセキュリティ、私見になりますが、ゆりかごから墓場までの脆弱性をじっくり検証する、そういった事がなく導入するのはリスクが残る気がします。
参考:
金融研究 第35巻第4号 要約 次世代認証技術を金融機関が導入する際の留意点:FIDOを中心に
更新履歴