1. 西田宗千佳のトレンドノート:iPhone Xなど顔認証でスマホのセキュリティは向上しない?

西田宗千佳のトレンドノート:iPhone Xなど顔認証でスマホのセキュリティは向上しない?

西田宗千佳のトレンドノート:iPhone Xなど顔認証でスマホのセキュリティは向上しない? 1番目の画像

 11月3日に発売された「iPhone X」には、「Face ID」と呼ばれる顔認証機能が搭載されている。従来アップルが使ってきた指紋認証機能「Touch ID」を置き換える形で使われているのだが、認識速度も速く精度も高いため、購入者の満足度は高い。

 高度な顔認証機能が搭載されている……というと、「今度のiPhoneはセキュリティが高まったんだね」と思う人が多いようだ。

 だが、これは誤りだ。顔認証ではセキュリティは上がらない。だが、我々のスマホを安全に使うために重要なものである。

 この矛盾した言葉はどういう意味を持っているのだろうか? ちょっと解説してみよう。このことは、我々が安全にネットを使う上で、大切な話なのだ。

顔認証の常識を変えたFace ID

西田宗千佳のトレンドノート:iPhone Xなど顔認証でスマホのセキュリティは向上しない? 2番目の画像

 iPhone Xが登場して以降、メディアにはいくつもの「Face IDを試してみた」という記事が出ている。その多くが、意外なほど柔軟性があること、認識精度が高いことに高い評価を下している。

 Face IDと従来の顔認証の違いは、「日常、あたりまえに起きる変化に強い一方で、本人を見分ける精度は高い」ことだ。従来の顔認証は、帽子やヒゲ、マフラーの有無や、体型の変化に弱かった。

 カメラで捉えた顔の画像をデータベースにあるものと照合する仕組みだったため、「映像として違う」状態になることに弱かったのだ。もちろん改善の取り組みはなされており、帽子やヒゲくらいなら大丈夫……というものも出てきたが、今度は処理速度や精度の問題が出る。平面の写真で顔を正確に、しかもすばやく見分けるのは大変なのだ。

 Face IDは、顔を「立体として捉える」ことでこの問題を克服した。顔を認識させる時には正面だけでなく、顎の下から横顔まで、ぐるりと全体を登録する。それをiPhone Xに搭載された、奥行きを認識できる「TrueDepthカメラ」で記憶し、認識に使う。顔の立体構造を把握しているので、帽子などのちょっとした変化や化粧のような表面的な変化には惑わされないのだ。

 しかも、認識のたびに顔の変化を学習するため、体型や髪型の変化にも強い。しかも、認識はかなりすばやく、指紋認証に勝るとも劣らない。

 自分を確実に、しかもすばやく認識してくれるからこそ、iPhone XのFace IDは高く評価されたのである。

Face IDは最初から「完璧ではない」

西田宗千佳のトレンドノート:iPhone Xなど顔認証でスマホのセキュリティは向上しない? 3番目の画像

 一方で、Face IDは「自分以外は絶対に認証しない完璧な技術」ではない。顔の立体構造が非常に似ている人……例えば双子などでは本人以外でも認証される例が報告されているし、特別な加工を施したマスクで突破した例もある。

 なんだ、完璧じゃないじゃないか……。

 そう思う人もいそうだ。

 だがそもそも、アップルはFace IDで「突破が絶対不可能な技術」を狙っていない。そもそもそんなものは現在の技術では作れない。なにより大きな誤解として、Face IDの狙いは「完璧な保護」ではないのだ。

 顔認証や指紋認証を導入するとセキュリティが高まる……と思っている人は多い。だが、それは大きな勘違いだ。それらの技術によるセキュリティ保護のレベルは、実は「パスワード」と変わらない。実際、iPhoneだって6桁のパスコードを突破されれば、顔認証や指紋認証は関係ない。顔認証も指紋認証も、結局は「パスコードやパスワードの入力を簡単にするもの」であり、本質的には、セキュリティをより高めるためのものではないのだ。

 パスワードやパスコードの欠点は、覚えておくことも入力することも面倒であることだ。だから、本来必要と思っていても「面倒なので使わない」人が出てくる。

 しかし、それらをより簡単な方法で代替できるなら、多くの人が使うはずだ。顔認証や指紋認証の導入による「セキュリティの向上」とは、あくまでそういう意味なのである。

セキュリティは「二要素」で守らねばならない

西田宗千佳のトレンドノート:iPhone Xなど顔認証でスマホのセキュリティは向上しない? 4番目の画像

 各社がスマホに顔認証や指紋認証、虹彩認証などを導入する理由は、「二要素認証の普及」という考え方を理解すると、非常にわかりやすくなる。

 実は、我々が日常使う認証はほとんどが「一要素」である。例えば、「会社に入る時に社員証を見せること」や、「ウェブを使う時にIDとパスワードを入力する」ことは、一要素認証である。「社員証を持っていること」や「ID・パスワードを知っている」という一つの要素で、その人に資格があるかどうかを判断しているからだ。

 だがこれでは弱い。

 ID・パスワードを盗まれたり、社員証を盗まれたりしたらどうなるだろう? それらの要素を持っていれば「本人とみなされる」ことになる。ネットでパスワードを破られて被害に合うのは、それが「一要素での認証」であるからだ。

  だが「二要素」になると突破は困難になる。二要素とは、

・本人だけが知っていること
・本人だけが所有しているもの
・本人自身の特性

 のうち、二つを同時に満たす必要があることを指す。

 難しいものに思えるが、実はこれ、世の中には非常にありふれた考え方である。

西田宗千佳のトレンドノート:iPhone Xなど顔認証でスマホのセキュリティは向上しない? 5番目の画像

 例えば、同じ社員証でも「写真付きの社員証」を見せることは、「社員証の有無」と「写真による顔の照合」の二要素を満たす。「銀行のキャッシュカード」は、「カードの有無」と「暗証番号」という二要素を満たすものだ。

 スマホのセキュリティを考える場合にも、この「二要素」をきちんと考える必要がある。

 そもそも、スマホは他人に渡してはいけない。「自分が持っている」ことが一要素目になる。そして二つ目の要素が、「パスコード・パスワードを知っている」か「本人であることが技術的に確認できる」かのどちらかになる。要は、顔認証や指紋認証によって本人確認をする、ということは、「スマホを使っているのが自分である」ことを確認するための手段であり、二要素目なのである。

 こう考えると、そもそも顔認証が絶対のセキュリティ対策でないのもよくわかる。やはり基本は「人にスマホを渡さない」ことであり、仮に渡ってしまった時に守るものが、パスコード・パスワード・各種生体認証なのである。


Webで重要度が増す「二段階認証」

西田宗千佳のトレンドノート:iPhone Xなど顔認証でスマホのセキュリティは向上しない? 6番目の画像

 この「二要素認証」という考え方は、一般的なWebサービスでも使われている。最近のWebサービスでは「二段階認証」という機能が使われていることが多い。ログイン時に、IDとパスワードを入力したのち、スマホに送られてくるSMSに書かれたパスコードや、スマホアプリ上で表示されるパスコードを入力する、というものだ。

 2つの情報を段階を踏んで入力することから「二段階認証」「2ファクタ認証」などと言われる。特に、Googleやアップル、マイクロソフト、TwitterにFacebookなど、個人にとって重要な情報を扱うサービスでは、二段階認証の利用が強く推奨されている。言葉は違うが、要はこれも「二要素認証」の一種である。

・Google:二段階認証の説明ページ

・アップル:2ファクタ認証の説明ページ

・マイクロソフト:2段階認証の説明ページ

・Twitter:ログイン認証の説明ページ

・Facebook:二段階認証の説明ページ

 なぜこのような手順を取るかは、「二要素認証」の必要性を理解した人ならもうお判りのはずだ。IDとパスワードだけでは、それらが漏れたら簡単にアカウントを乗っ取られてしまう。しかし、「自分だけが所有している」要素=自分のスマホからしか見れない情報を二要素目として付け加えることで、万が一の時にも、アカウントを奪われずに済む。

 面倒に思うかもしれないが、ID・パスワードの入力回数はそう多いものではない。ぜひ二段階認証を導入し、安全にネットを使って欲しい。そして、その安全も、結局は「スマホを盗まれない」ことからスタートするのである。

U-NOTEをフォローしておすすめ記事を購読しよう
この記事を報告する