キヤノンMJ/サイバーセキュリティ情報局
顔認証のセキュリティ、2023年現在の安全性とは
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「顔認証のセキュリティ事情、今でも写真で突破され得るのか?」を再編集したものです。
スマートフォンの普及で活用が広がる顔認証技術。過去には写真で認証が突破されたという報告もあり、リスクが懸念されるような状況だったが、目覚ましい技術革新によりセキュリティも向上している。この記事では、顔認証や生体認証技術全般について、その利用状況やセキュリティ事情について解説する。
顔認証の利用状況
IT機器が日常生活に深く浸透するのとともに、端末やサービスを利用するために本人確認を必要とする場面が増えている。例えば、認証方式の1つとして、顔認証がさまざまな場面で用いられるようになっている。具体的には、スマートフォン(以下、スマホ)のロック解除やパソコンへのログインに日常的に利用しているはずだ。
近年はオフィスや工場への出退勤や入退場の管理をはじめ、スポーツジムやイベント施設、受験会場、空港の出入国管理など、本人確認が必要なあらゆる場面でセキュリティレベルの強化を狙い、顔認証が利用されるようになっている。
顔認証が広まってきた背景には、認証における利便性と安全性の双方を高いバランスで成り立たせることを可能とした点が挙げられる。どうしても管理が煩雑になりがちなパスワード管理の手間も必要なく、加えて、紛失・盗難の心配もない。
また、両手がふさがっていても、カメラの前に顔を向けるだけですぐに認証が完了する手軽さは、ユーザーにとって大きなメリットと言える。さらに、コロナ禍を経て、非接触で手続きが済むことが衛生的だと考えられるようになった点も、普及を後押ししているものと考えられる。
生体認証技術のトレンド
顔認証は、数ある生体認証技術の1つに分類される。この生体認証とは人間固有の特徴を活用して本人確認を行うものであり、代表的な生体認証の手段として、顔に加えて、指紋・静脈・虹彩・音声などが挙げられる。
スマホやパソコンでは顔認証と並び、指紋認証が導入されているケースも多い。指紋認証は長らく、犯罪捜査などでも利用されてきた技術だ。最近のスマホでは光センサーや超音波センサーといった技術を用いて、より精度の高い判定が行えるようになっている。
一方、指紋認証の課題は、手袋をしているときや指を負傷した際に認証が行えない可能性がある点だ。また、手が濡れていてエラーと判別されたり、手がふさがってそもそも認証できなかったりと利便性が低いと感じてしまうユーザーもいる。その点、顔認証ではこのような不便さを感じさせることなく、スマホのカメラに顔をかざせば認証できる。
顔認証はユーザーの使い勝手を向上させながらも、なりすましのリスクを軽減できるのがメリットだ。一方で、眼鏡・マスクの着用、周辺の明るさなどといった要因で顔認証が困難になる場合もある。
そもそも、顔認証の技術は1960年代から研究が始まったとされている。その後、2001年に起こった米国同時多発テロを契機に、空港で顔認証技術が導入されるようになった。そして、顔認証アルゴリズムが進歩するのに伴い、社会への普及も広がってきている。さらに、2010年代以降に見られたディープラーニングの登場により、その精度が急速に向上してきた。
顔認証のアルゴリズムでは一般的に、瞳の中心、鼻翼、口の両端といった特徴的なポイントである「特徴点」の位置を計測する。 加えて、目鼻の凹凸や傾きといった特徴を抽出し、個人を識別する仕組みだ。
先述のように、ディープラーニングの適用やコンピューターの計算能力の向上もあり、マスクの有無や顔の向きが異なっているような場合でも、精度の高い識別ができるよう進化してきている。本人が年を重ねて見た目に変化があったり、顔の似た人が登録されたりした場合でも、誤認識を軽減するような工夫が導入されてきた。
近年では、なりすましの被害を防ぐため、二要素認証・多要素認証に用いる認証手段の1つとして顔認証を導入するケースも増えている。また、今後は管理が煩雑で不正侵入のリスクとなり得るパスワードが不要となる、パスワードレス認証を目指すのがトレンドだ。そのような潮流の変化もあり、生体認証の利用がさらに広がっていくことが見込まれている。
内部記事リンク:顔認証や指紋認証などの生体認証を利用して安全性を高めよう
顔認証の安全性
当初、顔認証技術は状況によって認証の精度が落ちるケースがあったため、セキュリティ上のリスクが指摘されていた。具体的には、実物大で印刷した写真やお面、タブレットなどに表示した本人の画像、あるいは3Dスキャン技術で作成したマスクやマネキンで顔認証が突破されたとの報告も過去にはあった。ほかにも、双子やよく似た兄弟で、適切に判別できなかった例もある。
また、本人の寝ている隙に、寝顔でスマホのロックを解除されたという報告もあったため、安心して利用できないと考えるユーザーがいても不思議ではなかった。
加えて、近年は映像合成技術を用いて、あたかも本人が動いているような動画を自動で生成する、ディープフェイク動画も発展してきた。こうした技術が悪用されることで、顔認証が突破されるリスクがある。しかし、最近では、以下のような新たな技術が顔認証に導入されたことで、先述のようなリスクが軽減される傾向にある。
1)赤外線センサーによる3D顔認証
従来の顔認証では、二次元(2D)の画像を解析して目や鼻の特徴を抽出していた。近年では赤外線センサーが導入され、レーザー光によって対象物を識別し、顔を三次元(3D)の立体データとして認証できるようになった。
その結果、写真や画面に映した顔だけで不正にログインされてしまうようなことはほぼ起こらなくなった。また、化粧や照明などの影響も受けにくくなっている。
2)画面注視認識機能による開眼状況の確認
自然な状態でカメラへ視線を向けているかどうかを判定する機能が、顔認証のアルゴリズムに導入されるようになった。先述した寝顔のケースを含め、本人の意思がないにも関わらず、スマホのロックが解除されるのを防ぐのが目的だ。Face IDを搭載しているiPhoneであれば、この画面注視認識機能が設定できる。
3)マスク着用時の認証
顔の特徴を識別する精度が向上し、マスク着用時の場合でも判別できる技術が開発されてきた。iPhoneをはじめとした対応機種では、マスクや眼鏡を着用したままでの顔認証を有効にするかどうかを選択できる。
内部記事リンク:Androidスマートフォンの顔認証、写真でも突破できる!?
生体認証の利用において考慮すべき「誤検知」問題
生体認証の精度について考える際は、「誤検知」について理解しておくと良い。認証という行為における誤検知には2種類ある。まず、1つ目は「False Positive(偽陽性、誤検知)」であり、もう1つは「False Negative(偽陰性、見逃し)」だ。
認証技術の開発において、この2つは一般的に反比例の関係となる。False Positiveの発生率を下げようとすると、False Negativeの発生率が上がってしまうのだ。言い換えると、間違って検知するのを避けようとするほど、その一方で正しいはずの検知が拒否されてしまう確率が高まることになる。
近年の認証技術を向上させる取り組みは、False PositiveとFalse Negativeの両方を改善させる仕組みが含まれている。そのため今では、以前のように紙に印刷した写真で顔認証を突破されるような問題が解決に向かっているのだ。
しかし、あらゆる認証技術に共通してFalse PositiveとFalse Negativeは、原則として相反する関係にあると認識しておく必要がある。
例えば、自らの端末内のデータを慎重に取り扱いたい場合、安全性を重視して指紋認証を採用する、利便性を重視する場合は顔認証を設定するといったように、用途に応じて認証手段を使い分けるという考え方もあるだろう。 しかし、先述のように顔認証の技術レベルが向上した結果、安全性と利便性を高いレベルで両立しつつあるため、顔認証は今後より一層一般的になっていくものと思われる。
私たちが使用するスマホやパソコンには、守るべき個人情報や決済情報などが含まれている。重要な情報の窃取を防ぐためにも、認証技術の安全性について理解を深め、利便性を保ちつつも適切な設定をするよう心掛けたい。
内部記事リンク:改めて知っておきたい、生体認証の仕組みと利用する際のリスク