インターネットサービスの普及に伴い、パスワードリスト攻撃をはじめとする不正ログインの脅威が急速に増加しており、大学の情報システムにおいても、ユーザー認証の安全性強化が課題となっている。今回、京都産業大学と株式会社日立システムズは22日、クラウド型の指静脈認証サービスの実証実験を開始したと発表した。
これは、IDとパスワードなどによるログイン認証やICカードなどに格納した鍵情報を用いてPKIによる認証を行う従来の方式よりも、「本人認証」、「電子文書の作成者証明」、「通信路の秘匿」を安全・便利に実現できるという。生体情報を鍵としてPKIと同等の認証を行う新技術「テンプレート公開型生体認証基盤(PBI)」を活用したクラウド型の指静脈認証サービスである。
京都産業大学では、学術e-リソースを利用する大学、学術e-リソースを提供する機関・出版社等から構成された連合体である学術認証フェデレーション「学認」に参加している。この「学認」を通じて複数のサービス事業者や大学、研究機関のサービスをシングルサインオンで利用しているという。2014年4月現在で130の大学や研究機関が「学認」に参加しており、約95万人のユーザーがいる。「学認」の運営メンバーの一人でもある京都産業大学の秋山豊和准教授は、「学認」における大学の認証サービスの信頼性を考慮し、ユーザー認証の強度を今後より担保する必要性を感じていた。それが、今回の新システムの開発につながったという。
ユーザー認証の強度を高める手法の一つに、公開鍵暗号方式を用いたPKIによる認証がある。しかし、認証に必要となる電子証明書とそれを格納するためのデバイス購入コストや、デバイスの故障や紛失時の再発行などの運用の手間があり、京都産業大学では、より便利で確実なセキュリティ施策を模索していた。
一方、より便利で確実な本人確認を実現する技術として、生体認証技術が注目されている。しかし、システムに登録された生体情報が万一漏えいした場合、生体情報は交換ができないことから、大きなリスクがあると考えられていた。そこで、株式会社日立製作所 横浜研究所は、PKIと生体認証の仕組みを組み合わせたより安全な認証技術としてPBIという技術を開発し、2014年6月に発表した。日立システムズは、このPBIを活用したクラウド型生体認証サービスを開始したいと考えていたという。
こうした背景を踏まえ、京都産業大学と日立システムズは、共同で実証実験を開始。従来のPKIによる認証システムでは、ICカードなどに鍵情報を格納していたため、これを厳重に管理する必要があったが、今回のPBIを用いたシステムでは、指静脈情報に対して不可逆な暗号処理をした情報を認証時に生成して鍵情報として使うため、鍵情報の管理が必要ない。また、認証システムに登録された情報から指静脈情報を復元できないことが、数学的に保証されている。
同システムでは、ユーザーによる鍵情報の運用・管理が不要となり、パスワードの代わりに生体情報でログイン認証を行うことでリスクを低減でき、より安全・便利な認証が可能である。この認証方式においては、電子証明書や電子証明書を格納するデバイスのコストなどが不要になることから、コストや運用管理負荷低減につながると見込んでいるという。(編集担当:慶尾六郎)
