近年のリモートワークへの移行は、セキュリティを担当するIT部門にとって大きなジレンマを生み出しています。業務用のコンピュータとユーザーが全国各地に分散している今、従業員が主に中央オフィスに閉じこもっていた時代には存在しなかった問題が次々と発生しています。
この問題の根底にあるのは、十分なセキュリティを提供するだけでなく、邪魔にならずユーザーが日常的に簡単に使用できるデバイス間での認証の必要性です。
多くの企業がユーザー認証やアクセスに顔認識技術の活用を検討してきました。しかし、最近の傾向では、顔認識は多くの従業員に受け入れられなくなってきています。
参照: 人工知能倫理ポリシー (TechRepublic Premium)
企業が顔認識を懸念する理由と、安全で従業員の懸念に配慮した代替手段をいくつか見ていきます。
顔認識の問題点
顔認証は、機密データへのユーザー認証アクセスを実現する、一見優れた方法として始まりました。ユーザー側の手間はほとんどかからず、概ね安全だと考えられていました。
最近では、従業員は顔認証を煩わしいと感じるようになっています。非常に個人的な生体認証データがどのように保存・共有されるのかという懸念から、従業員はこうしたトレードオフが自分たちにとって利益になるのか疑問に思うようになっています。
信頼性の面でも懸念があります。ユーザーが誤ってロックアウトされた場合、様々なリセット方法を用いて自力で問題を解決できないことがよくあります。これは、これらの問題に対処しなければならないIT部門にとって負担となります。
顔認識の代替手段
顔認証の最も一般的な代替手段は、AuthyやGoogle Authenticatorなどのアプリを使用した二要素認証です。この方法では、パスワードと二要素認証アプリから提供されるトークンのみで認証できるため、生体認証データは一切不要です。
多くの 2FA オプションはシングル サインオン テクノロジと組み合わせることができ、ユーザーがネットワーク内のさまざまなアクセス ポイント間を移動する際に作業がはるかに簡単になります。
CiscoのDuoのようなソフトウェアソリューションを利用すれば、ユーザーはプラットフォーム間やデバイス間を移動する際に、一度だけ認証するだけで済みます。DuoはSSOと2FAを統合することで認証を効率化しており、Etsy、Eventbriteなど多くの企業が現在この技術を導入しています。
このアプローチは、顔認証による単一の認証方法よりも安全性が高い可能性があります。また、問題が発生した場合でも、ユーザーがパスワードや認証アプリを復旧する権限をある程度持つという利点もあります。これにより、本来であればこれらのタスクを担うIT部門の負担が軽減されます。
より高いセキュリティと柔軟性を求めるなら、顔認証に加えて多要素認証ソリューションも選択肢となります。OktaのようなMFAソフトウェアソリューションを使えば、ユーザーが複数の認証方法から2つ以上の認証方法を選択できるよう、カスタマイズされたポリシーを作成できます。これにより、必要に応じて顔認証などの生体認証も含めた多様な認証方法が可能になります。
顔認識をすでに実装している企業や、顔認識を含むコンプライアンス要件がある企業の場合、このアプローチにより、他のユーザーにはそれほど厳しくないアクセスを許可しながら、それらの要件を満たすことができます。
全体として、MFA ソリューションは、非常に安全なまま、ほぼすべての状況に適合するカスタマイズされた認証オプションを可能にします。
認証のためのハードウェア代替
ハードウェア認証は、生体認証データの保存に伴うプライバシーの問題がなく、顔認識のスピードと使いやすさを実現できます。
YubiKeyのようなデバイスは、AuthyやGoogle Authenticatorなどのトークンをユーザーが入力することなく、デバイスやプラットフォーム間でワンタッチ認証を提供します。ただし、YubiKeyはトークンやワンタイムパスコードを入力できるため、ほとんどのレガシーシステムとの互換性を維持できます。
YubiKeyはFIDO 2プロトコルも採用しており、公開鍵暗号を用いた完全なパスワードレスログインを実現します。これにより、パスワードを記憶する必要がない顔認証と同等のユーザーの自由を、よりユーザーにとって負担の少ない方法で実現します。
欠点は、小さな物理的なYubiKey自体が必要になることです。しかし、ユーザーは予備またはバックアップのYubiKeyを保有することができ、ITスタッフの介入なしに簡単に取得したり、自分でアクティベートしたりすることができます。
もう一度言いますが、これにより、パスワードのリセットと同様に、ユーザーは自分の問題を解決できるようになります。これは顔認識ではできないことが多い機能です。
その他の生体認証オプション
特定のポリシーやベンダーへのコンプライアンスを維持するために、生体認証が依然として好まれる場合や、必須となる場合もあります。そのため、一部の企業は顔認証よりも侵入性が低い代替手段を模索しています。
こうしたスタートアップ企業の一つに「Typing DNA」があります。まだ非常に新しい技術ですが、ユーザー個々のタイピングパターンを利用して継続的な認証を行うことを目指しています。
同社はこの技術を「タイピング生体認証」と呼んでおり、ユーザーの入力方法から微細なパターンを検出します。このソフトウェアは入力パターンのみを検知し、入力内容を実際に読み取ったり監視したりすることはありません。これらの微細なパターンは、ユーザーの生体指紋として認識されます。パターンが変化した場合、システムは様々な認証方法を満たすまでロックされます。
この種の生体認証システムの際立った特徴は、継続的な認証という点です。ほとんどの認証オプションは1回限りのものです。放置されたデバイスも標的となる可能性があります。DNAタイピングは、デバイスにアクセスするユーザーを識別し、ロックアウトすることで、そのユーザーを特定します。
これは興味深い概念であり、少しの創造性があれば、他のより侵入性の低い生体認証が可能であることを示しており、これらのいくつかは、一部のアプリケーションでは顔や指紋の生体認証などに取って代わる可能性があります。
