特集「生体認証大ブレーク」（9）

図3 標準化の対象<BR>ISO（国際標準化機構）とIEC（国際電気標準会議）が共同で設けたJTC1（第一合同技術委員会）の小委員会（SC37）で，生体認証技術に関する標準化が進められている。六つのワーキング・グループで専門用語やAPI，運用上のプロファイルなどを策定している。

[画像のクリックで拡大表示]

図4 生体認証で用いるデータの基本構造<BR>CBEFF（Common Biometric Exchange Formats Framework）と呼ばれるデータ構造。認証方式や交換するデータ形式に合わせてデータ本体が記述される。NTTデータの資料を基に本誌が再構成。

[画像のクリックで拡大表示]

図5 共通インタフェース仕様<BR>生体認証用のインタフェース仕様であるBioAPIを使ってデータをやりとりする。BSP（Biometric Service Provider）は各装置メーカーがデバイスに合わせて作り込むソフトウェアで，アプリケーション側からBSPを切り替えて複数ベンダーの装置を使用する。NTTデータの資料を基に本誌が再構成。

[画像のクリックで拡大表示]

図6 認定制度の概要<BR>IPA（情報処理推進機構）では，(1)生体認証のアルゴリズムや装置，システムの精度評価，(2)脆弱性情報の収集，(3)相互運用を認定する評価センターの設置を検討している。今後，評価システムの仕様，精度評価用データベースを構築する方法の検討を始める。

[画像のクリックで拡大表示]

図7 データベース用のデータ生成技術<BR>精度評価用データベースを構築するため，実画像から仮想サンプルを作り出す技術が検討されている。まず基準の顔から特徴が近い画像（似ている画像）を三つ選び出し，特徴量の差が等しくなるような仮想サンプルを生成する。特徴量の差が等しいと，判別は同程度の難易度となる。京都大学 大学院情報学研究科の鷲見和彦客員教授の研究。

[画像のクリックで拡大表示]

　生体認証の二つ目の課題である標準化では，異なるベンダーの装置で登録・照合した場合，いかに照合精度が落ちないようにするかに焦点が当たっている。

　生体認証に関する標準化は，国際的な場でプログラムのインタフェース（API）仕様やデータ交換形式などが策定中だ（図3[拡大表示]）。これらは相互運用性のみを保証する。A社の装置で登録した場合に，B社の装置で照合すると本人だと認証されてもC社の装置だと拒否されてしまう事態が起こり得る。

　こうした問題が明らかになったきっかけは，船員が所持を義務づけられている船員手帳だった。「船員手帳にはILO（International Labour Organization，国際労働機関）が定めた仕様で，指紋データを特徴点抽出して2次元コード化したものと顔写真を記載する。世界のベンダー7社の指紋認証装置を使って相互運用テストを実施したところ，2003年時点でILOの想定する目標精度を達成できたのは2社製品の組み合わせのみだった」（日立製作所 システム開発研究所の瀬戸洋一主管研究員）。

　現状では共通のデータ形式が決まっているので，装置間でデータ交換はできる（図4[拡大表示]）。船員の身分証の場合も，データ形式やAPIはどれも国際標準にのっとっていた（図5[拡大表示]）。ところが，「解像度，歪みといったセンサーの画像特性，および特徴抽出アルゴリズムが各社で異なるため，精度に違いが出た」（NTTデータ 技術開発本部 セキュアサービスプラットフォームグループの道坂修シニアスペシャリスト）。

　精度を確保するために，「特徴点抽出方式にすると互換性がなくなるのであれば，データ量は増えるが生データ（画像）を使えばよいのではないか」（カシオ計算機 羽村技術センター 要素技術統轄部の竹田恒治副主席）といった声も出ている。このほか，国際標準で決められた特徴点抽出アルゴリズムにおける，曖昧な記述を明確にすることも考えられている。だがアルゴリズムは装置の性能を左右する部分であり，詳細に規定してしまうと他社との差異化ができなくなるため，ベンダー間で合意をとるのは難しそうだ。

第三者が安全性を評価

　ベンダーの宣伝文句にのらず，本当にその装置の性能が高く安全なのかを見極めるにはどうすればよいか。残念ながら現状では手だてがない。安全性を公平に評価するなら，第三者が測定した精度や脆弱性情報が必要となる（図6[拡大表示]）。製品を選択する自由度を高めるうえで相互運用性も保証すべきである。

　ニーズの高まりを受け，情報処理推進機構（IPA）は現在設けているセキュリティ評価・認証プログラムに加えて，生体認証の精度評価に向けた検討を始めようとしている。精度評価だけでなく脆弱性情報の受付・公開も考えている。

　ただし一筋縄ではいかなそうだ。「評価するにはさまざまな特徴のデータを集めたデータベースが必要。このデータをどうやって集めるかが問題」（情報処理推進機構 セキュリティセンターの三角育生センター長）。

　データベースの構築は非常に難しい。各ベンダーが評価用に使っているデータベースはいわば各社の財産であり，提供してもらえない。またデータは個人情報に該当するため，協力者に利用について同意してもらう必要がある。プライバシー問題を指摘する声も少なくない。

　多くの課題を抱えているがIPAは，データベースの構築方法や対象とする認証方式など評価の仕様を2005年度中に固める方針だ。

架空の顔画像を作り出す

　個人の顔画像を使うことが問題なら，仮想の顔画像を作り出せば簡単にデータベースを構築できるはずだ。この可能性を求め，京都大学大学院 情報学研究科 知能情報学専攻の鷲見すみ和彦氏COE研究員・客員教授は，実データから仮想的な顔データを生成する研究を進めている（図7[拡大表示]）。通常，データベースを構築するには企業の社員やボランティアを募るが，そこで集めた顔データはプライバシーにかかわるため転用できない。そこで，実在しない仮想的な画像を使ってデータベースを作ろうという訳だ。

　「本人と他人の判別性能を測る場合，性能の良しあしを決めるのは，同じ人の日々の変化は許容しつつよく似た2人を見分けることができるかどうか。そこで，まずデータベースの中から最もよく似た3人組をたくさん見つけ出す。次にそれぞれの3人組について，平均的にはその3人と同じで，相互の類似度も同じ人工的な顔を仮想的に作り出す。この人工的な3人は元の3人とは別の顔なので，デーベースに登録した被験者の個人情報と結びつけられることはない。しかも，アルゴリズムにとっては同じくらい識別が難しいので，評価用データベースとしては十分使える」（京都大学大学院の鷲見COE研究員・客員教授）。

　ちなみに顔認証のアルゴリズムは各社で大きく異なるため，各アルゴリズムにとって識別の難易度が同等になるような工夫を考えているという。

　今後は，顔の向きや表情の変化など日常的な変化成分を考慮した改良を加える。また，同じアルゴリズムで実データと仮想データとをそれぞれ照合した場合，精度に違いが出るかも検証する予定だ。

脆弱性情報を公開するルールが必要

　脆弱性の公表については決まった枠組みがない。今のところ，「野放図に脆弱性を公表すると，未対応のうちに攻撃されたり，ユーザーに過度の不安感を与えたりする。公表時期を調整し，開発者には優先的に報告するなどの枠組みが必要」（日立製作所の瀬戸主管研究員）という主張が多い。

　ただし，脆弱性の研究の足かせにならないような配慮も必要だ。「公開の仕方は工夫すべきで，ルールがないよりはあった方がいい。ただし学術的な世界に，こういう研究をやってはいけない，という制約を設けてはならない。情報技術全般について脆弱性の問題はあるのだから，良心にしたがって発表すればよいのではないか」（日本銀行金融研究所 岩下直行情報技術研究センター長）。

　業界団体であるバイオメトリクス セキュリティ コンソーシアムは2005年8月から，生体認証の安全性を検討するワーキング・グループを立ち上げ，脆弱性や攻撃手法，対策方法について話し合いを始めている。2006年3月に報告書を出す予定である。