【ITパスポート問題解説】バイオメトリクス認証とは?
さて、初回は令和3年~6年の毎年出題されている「バイオメトリクス認証」についてご説明します。
下記にはバイオメトリクス認証の説明と、過去問題の解説があります。
※有料にしてましたが初記事なので無料に切り替えます。
解説
「バイオメトリクス認証」と聞くと、はて? となるかもしれませんが、日本語にすると「生体認証」です。例えば、指紋、声紋、静脈認証、顔認証いろいろありますね。また、筆跡などもこれにあたります。
個人が持つ身体的または行動的特徴を用いて認証を行うため、偽造しにくく、安全性が高い本人確認の手段といえます。
過去問題
バイオメトリクス認証における認証精度に関する次の記述中のa,bに入れる字句の適切な組合せはどれか。
バイオメトリクス認証において、誤って本人を拒否する確率を本人拒否率といい、誤って他人を受け入れる確率を他人受入率という。また、認証の装置又はアルゴリズムが生体情報を認識できない割合を未対応率という。
認証精度の設定において、[ a ]が低くなるように設定すると利便性が高まり、[ b ]が低くなるように設定すると安全性が高まる。
ア a:他人受入率 b:本人拒否率
イ a:他人受入率 b:未対応率
ウ a:本人拒否率 b:他人受入率
エ a:未対応率 b:本人拒否率
これは文章を読めばわかる問題です。指紋認証をした時に、誤って拒否される確率、誤って他人を受け入れる確率、生体情報を認識できない確率、をそれぞれ考えましょうという問題です。
セキュリティとはそもそも、安全性を高めれば利便性が下がり、利便性を上げれば安全性が下がるという特徴があります。家の玄関に鍵を10個つければ安全性は上がりますが、めんどくさいですよね。そういうことです。
つまり、[a]には利便性が高まるもの=安全性が低くなるものを入れます。そして、[b]には安全性が高くなるもの=利便性が低くなるものを入れます。
未対応率=生体情報を認識できない割合は今回関係ないので無視でよいです。イとエは外れます。
アとウのどちらかということになりますが、「他人受入率」、つまり他人を受け入れる確率を上げるか下げるかですが、他人を間違って認証する可能性を上げると安全性は下がりますし、下げると安全性は上がります。文章中では[b]が「他人受入率」であるとわかります。「本人拒否率」は誤って本人を拒否する確率ですが、拒否されたら利便性は下がりますね。つまり、こちらは確率を下げることで利便性が上がります。
そのため、答えは「ウ」となります。
バイオメトリクス認証に関する記述として、適切なものはどれか。
ア 指紋や静脈を使用した認証は、ショルダーハックなどののぞき見行為によって容易に認証情報が漏えいする。
イ 装置が大型なので、携帯電話やスマートフォンには搭載できない。
ウ 筆跡やキーストロークなどの本人の行動的特徴を利用したものも含まれる。
エ 他人を本人と誤って認証してしまうリスクがない。
ひとつずつ見ていきましょう。
まず「ア」ですが、指紋や静脈を使った認証とあるので合っているように見えますが、「ショルダーハックなどののぞき見行為」では漏えいしません。ショルダーハックとは文字通り、肩越しに覗き見ること。「人がパスワードや暗証番号を入力しているところを見て、個人情報を盗み出す手口」のことを言います。ショルダーハックで指紋や静脈はわからないので、こちらは×です。
次に「イ」ですが、スマートフォンで指紋認証や顔認証を使う方も多いと思います。小型の認証装置もありますので×です。
次に「ウ」ですが、行動的特徴を利用したものもバイオメトリクス認証に含まれます。こちらが正解です。
そして「エ」ですが、これは逆で「他人を本人と誤って認証してしまうリスクがある」が正しいです。そのため×になります。
バイオメトリクス認証の例として、適切なものはどれか。
ア 機械では判読が困難な文字列の画像をモニターに表示して人に判読させ、その文字列を入力させることによって認証する。
イ タッチパネルに表示されたソフトウェアキーボードから入力されたパスワード文字列によって認証する。
ウ タッチペンなどを用いて署名する際の筆跡や筆圧など、動作の特徴を読み取ることによって認証する。
エ 秘密の質問として、本人しか知り得ない質問に答えさせることによって認証する。
「ア」はよくログイン認証にある「キャプチャ(CAPTCHA)」という画像認証です。スパムや不正アクセスを防ぐために使用されます。バイオメトリクス認証ではないので×です。ただ、現状マシンによる自動判別も可能であるとされています。
「イ」は「パスワード認証」です。通常の認証ですね。なので×です。
「ウ」は筆跡や筆圧などの行動的特徴による認証ですので、こちらが正解になります。
「エ」は「多要素認証(MFA)」というもののうち「知識情報」に分類されます。通常、知識情報、所持情報、生体情報の3つの要素の中から2つ以上を組み合わせて本人認証を行います。なので、こちらも×です。
次の記述のうち、バイオメトリクス認証の例だけを全て挙げたものはどれか。
a Webページに歪んだ文字の列から成る画像を表示し、読み取った文字列を利用者に入力させることによって、認証を行う。
b キーボードで特定の文字列を入力させ、そのときの打鍵の速度やタイミングの変化によって、認証を行う。
c タッチパネルに手書きで氏名を入力させ、そのときの筆跡、筆圧、運筆速度などによって、認証を行う。
d タッチパネルに表示された複数の点をあらかじめ決められた順になぞらせることによって、認証を行う。
ア a, b
イ a, d
ウ b, c
エ c, d
「a」は上述した「キャプチャ(CAPTCHA)」という画像認証です。なので×です。
「b」はバイオメトリクス認証になります。行動的特徴による認証ですね。
「c」もバイオメトリクス認証です。行動的特徴による認証です。
「d」はスマートフォンのログインなどに使われますが、「パターン認証」と呼ばれるものです。なので×です。
上記から、「b」と「c」が正しいので「ウ」が正解となります。
総括
過去問題も見ることで、バイオメトリクス認証というものがどのようなものかわかったかと思います。問題の傾向からして、よくある身体的特徴である指紋や顔認証というものではなく、行動的特徴による認証の問題が多いようです。
令和3年度はちょっと特殊でしたが、バイオメトリクス認証がわからなくてもセキュリティというものの特徴をわかっていれば解けるかと思います。安全性を高めれば利便性が下がり、利便性を上げれば安全性が下がるという特徴は覚えておいて損はないでしょう。