バイオメトリクスの現状とは?
バイオメトリクスのおかげで、このようなインタラクションのそれぞれを、摩擦なくシームレスに行うことができる。何気ない問い合わせから、個人的で機密性のないアカウント、プライベートで高度に保護されたアカウントへの切り替えは、指先のスワイプやカメラに向かってまばたきすることで達成される。コンシューマー・グレードのバイオメトリクスの登場と大量採用は、消費者の期待を大きく変えた。もはや、共有秘密として使用するために高度にエントロピー的なコードを作成し、記憶する必要はない。
そして、これは最初の波に過ぎない。W3CはFIDOアライアンスと協力し、バイオメトリクスを組み込んだ強力な認証を標準的なウェブブラウザの要件に統合しようとしており、マイクロソフトのモダン・キーボードには、指紋センサーが通常の見た目のキーの中に隠されている。私たちがスマートフォンとやりとりする方法は、すべてのコンピューティング・デバイスとやりとりする方法になりつつある。
これにより、コンシューマーグレードのセキュリティに関する新しい考え方を模索することができる。ひとつの大きな、すべてのアクセスドアではなく、マルチゲートシステムを導入することで、低レベルの情報や機能へのアクセスは簡単な指紋スワイプで済むが、より高いレベルのアクセスには、さらにレベルの高い身分証明が必要になる。歴史的には、残高の確認から定期的な請求書の支払い、巨額の資金の送金に至るまで、あらゆるレベルの取引にアクセスし承認するために必要なものは、単一のパスワードだけであった。現在では、口座残高の確認には指紋が使えるが、消費者が請求書を支払うには指紋に加えて顔認証スキャンが必要であり、送金には指紋、顔、音声認証が必要である。たとえ組み合わせても、小さなタッチスクリーンに複雑なパスワードを入力するよりは、ユーザーにとっての摩擦は小さくなる。
そう感じているのは、バイオメトリクス分野に携わる人々だけではない。バイオメトリクスの採用が増加していることを示す重要な指標が、官民両市場から発表されている。政府機関は、米国における最近のサイバーセキュリティに関する大統領令、金融機関に焦点を当てた欧州のPSD2、英国の国家サイバーセキュリティ戦略などの声明を発表しており、これらすべてが、バイオメトリクスの取り扱い方法とバイオメトリクスが何の役に立つかについて具体的に言及しています。民間市場では、モバイル・ネットワーク・オペレーターから決済プロバイダー、金融機関、さらにはモノのインターネットに注力する企業まで、ほとんどすべての業種がバイオメトリクスを取り入れる方法を模索しています。
しかし、まだやるべきことはある。米国標準技術研究所(National Institute of Standards and Technology)のような政府の政策立案者が、バイオメトリクスを採用し、他の安全性の低い認証方法を廃止するガイドラインを発行している一方で、社会保障庁(Social Security Administration)のような部署の責任者は、いまだにパスワード、ワンタイムパスワード、電子メールのリセット、SMSメッセージングといった時代遅れのモデルに固執している。2015年に起きた人事管理局(Office of Personnel Management)の情報漏えいの教訓を学ぼうとしない、サーバーサイドのバイオメトリック・ストレージの擁護者もまだいる。金融機関は、技術革新の中心であると主張しながらも、導入することなく評価と試験運用の終わりのないサイクルの中にいるようだ。このような議論と遅延の間にも、悪意ある行為者はより精通し、より経験を積み、新しく導入された技術を破るより洗練された手段を開発している。
結局のところ、バイオメトリクスの現状は複雑である。