クラウド型の「SHIELD PBI指静脈認証サービス」を販売開始

株式会社日立システムズ（代表取締役 取締役社長：髙橋 直也、本社：東京都品川区／以下、日立システムズ）は、ハイブリッドクラウド環境において電子署名技術に基づく便利で安全・確実な本人認証を可能にする、新技術「テンプレート公開型生体認証基盤（PBI*1）」を活用したクラウド型の「SHIELD PBI指静脈認証サービス」を本日から販売開始します。本サービスは、認証の鍵として、電子証明書などの代わりに生体情報を利用するため、紛失リスクもなく、成り済ましの防止にも効果的なセキュアな認証サービスです。

インターネットサービスの普及に伴い、パスワードリスト攻撃をはじめとする不正ログインの脅威が急速に増加しており、従来のパスワードによるユーザー認証の限界が指摘されています。とりわけ、クラウドサービスの普及によって、インターネット上の業務システムと自己導入型のシステムなどを組み合わせて活用する例が増えており、こうしたハイブリッドクラウド環境におけるユーザー認証の強化が課題となっています。
ユーザー認証の強度を高める手法の一つに、公開鍵暗号方式を用いたPKI*2による認証がありますが、認証に必要となる電子証明書とそれを格納するためのデバイス購入コストや、デバイスの故障や紛失時の再発行に伴う運用の手間があり、より便利で確実な本人認証の施策が求められていました。

便利で確実な本人認証の施策の一つとして、生体認証技術が注目されていますが、システムに登録された生体情報が万一漏えいした場合、偽造や成り済まし、プライバシー侵害など重大なセキュリティ事故が発生します。そのため、インターネット上の業務システムへの利用には難しいと考えられていました。そこで、株式会社日立製作所 研究開発グループは、PKIと生体認証を組み合わせた、より安全な認証技術としてPBIという技術を開発し、2014年6月に発表しました。

PBIの登録、認証処理の概要は以下の通りです。登録時に、クライアントはセンサーから読み取った指静脈情報（生体情報）を一方向性変換*3することでPBI公開鍵を生成し、認証サーバーに登録します。認証時には、再びセンサーから読み取った指静脈情報から秘密鍵を生成し、認証サーバーから送信されるチャレンジコード（乱数）に対する電子署名データを生成します。この電子署名データを認証サーバーに送信し、認証サーバーは署名検証することで本人認証を行います（ファジー署名技術*4）。従来のPKIによる認証システムでは、ICカードなどに電子証明書を鍵情報として格納していたため、これを厳重に管理する必要がありましたが、PBIを用いたシステムでは、指静脈情報そのものが秘密鍵となるため、従来厳密な管理が必要であった秘密鍵をユーザー側で保存する必要がありません。また、システムに登録するデータ（公開鍵）から指静脈情報を復元することはできないため、生体情報の漏えいや偽造を防ぎます。PBIで使用するファジー署名技術の安全性は暗号学的に証明されており、本技術論文は暗号理論の専門家による査読を経てその理論的な正しさが検証され、国際学術会議 ACNS 2015に採録されています。

詳細はこちらから (リンク »)