金融機関とバイオメトリクス：４つのトピック

バイオメトリクスへの関心は金融業界に広まっています。デジタル化の浸透に伴って、セキュリティとアクセス可能性とのバランスをとることが重要になってきました。

エレクトロニクスは、事実上私たちの生活のあらゆる面に浸透してきました。さまざまな情報を大量にオンラインまたはモバイルアプリに格納するようになり、セキュリティとアクセス可能性とのバランスを考えることは大きな課題です。パスワードは使いまわしてはいけないと言われますが、数十ものパスワードを暗記するのは至難の技です。そこで、極めて高いプロテクションを提供しつつ、効率的でユーザーフレンドリーなセキュリティ対策を施す手法が模索されています。伝統的なパスワードは過去のものになりつつあります。

そのような状況において、金融機関はセキュリティのためにバイオメトリクスに注目しています。指紋、虹彩、心拍パターンなどの特性は各個人特有なので、パスワードよりも強いセキュリティが得られます。パスワードは（意図的にまたは意図しないで）共有することができますが、バイオメトリクスは複製が非常に困難です。いいことづくめのようですが、バイオメトリクスの技術はまだ完全に信頼できるレベルには達していません。バイオメトリクスに関して知っておくべき4つの重要な要素があります。

1. バイオメトリクスによって金融機関の業務をシンプルにできる

パスワードを利用した身元確認は大変やっかいです。どのパスワードがどのデバイスやアプリケーション用なのかを覚えておく必要があります。オンライン・アカウントが増えるにつれて、リストはますます膨大化していきます。パスワードは、複数のキャラクター・タイプを要求されることが多く、タイピングも面倒です。どれもこれもフラストレーションのもとです。EyeVerify の調査では、回答者の86％が、バイオメトリクスを使うことで従来のパスワード入力よりも簡単にモバイルバンキング・アプリケーションにログインできると考えています。サンタンデールなどの銀行は、顧客が受取人リストに登録された個人への支払いを簡単にできるように、音声による指示を認めています。現代の音声認識は音声を分析するだけでなく、発声に影響を与える頭部の他の物理的特徴も考慮するため、最新の技術が使用されていれば、この支払い方法は安全だと言われています。単独で使用した場合の安全性にはまだ疑問が残りますが、バイオメトリクスにより顧客の操作が簡単、迅速になるため、リモート・バンキングを促進することは大いにあり得ます。

2. バイオメトリクスで高いセキュリティを確保できる

パスワードは盗難から無縁ではあり得ません。実際は、パスワードを記録しておくか、どこに記録するか、何種類のパスワードを使っているか、どんな頻度でパスワードを変更するか、などによって、かなり脆弱なことがあります。バイオメトリクスを使うと、そのような心配はそれほどしなくてもすみます。不正から完全に無縁であるとは言い切れませんが、指紋や声紋、虹彩を複製するのは、パスワードを特定するよりはるかに困難です。しかし、ハッカーを過小評価してはいけません。銀行は、バイオメトリクスの技術が限りなく安全であるようにする方法を模索し続けるべきです。

バイオメトリクスの機能を使って、より安全な多要素認証が可能になります。多くの銀行は、パスワードや個人的な質問の形で多要素認証を既に使用しています。しかし、個人的な質問は実際には万全ではなく、侵害された場合はハッカーに貴重な情報を提供することになります。このため、ログイン・プロセスにステップを追加することがあります。多くの金融機関では、アカウントが未知のデバイスからアクセスされた場合、アクセスコードの付いた確かなデバイスに電話したりテキスト・メッセージを送ったりします。このような手順はより大きな保護につながりますが、生体認証の複数のレイヤを導入すると、セキュリティがさらに強化されます。

3. バイオメトリクスはデバイス依存

音声、顔、指紋認識などの生体認証セキュリティ機能を使用するには、通常、認証のために特定のデバイスが必要になります。もしパスワードを完全に廃止すると問題につながる可能性があります。銀行のアプリケーションが口座にアクセスするためにバイオメトリクス認証を必要とし、そのセキュリティ対策が特定のデバイスを必要とする場合、ある割合の顧客を隔離するリスクがあります。銀行は、バイオメトリクスを実装する際にハイブリッドなアプローチをとるべきです。Intercede のリチャード・パリス最高経営責任者は、バイオメトリクスを使用するだけでなく、「３つの異なる要素 – 所有物(スマートフォンのような所有しているもの)、知識(PINのような知っているもの)、生得物(虹彩スキャンで確認できるようなその人の生得的特徴) – を組み合わせた、強い認証システムを使うべきです。」と話しています。新しいテクノロジーと既存のアクセスコントロールを組み合わせることによって、バイオメトリクスへのスムーズな移行が可能になります。一方で、デバイスに依存せずにアクセス可能なバイオメトリクス機能の研究を継続することも重要です。

関連ブログ: RegTech: 金融規制を管理するための技術

4. 需要は高いが、経験は少ない

オックスフォード大学のコンピュータサイエンス学科とマスターカードの調査によると、金融部門の消費者の93％がバイオメトリック認証方式の使用に関心を示しています。それに対し、金融業の92％がモバイル・バイオメトリクスの導入に関心があると答えているものの、実際に導入しているのは13％にとどまります。金融業専門家の88％がバイオメトリクスに関する意思決定に関与することを期待されていますが、自分が十分な経験を持っていると考えている人はその36％に過ぎません。3分の2は経験がほとんどないと言います。バイオメトリクスに関しては、まだ多くの人が学習途上です。しかし、銀行セキュリティの新しい形態を実現するには、それを完全に理解しなければなりません。

銀行のセキュリティのためにバイオメトリクスが着目されていることは疑うべくもありませんが、パスワードなしの身元認証が完全に安全・確実になるまでにはしばらく時間がかかりそうです。