基本情報 平成30年度 秋期 問45:テクノロジ系に関する問題
生体認証アシステムを導入するときに考慮すべき点として, 最も適切なかものはどれ か。
- a本人のディジタル証明書を, 信頼できる第三者機関に発行してもらう。
- b本人を話って拒否する確率と他人を誤って許可する確率の双方を勘案して装置 を調整する。正答
- cマルウェア定義ファイルの更新が頻繁な製品を利用することによって, 本人を 誤っつて拒否する確率の低下を防ぐ。
- d容易に推測できないような知識量と本人が覚えられる知識量とのバランスが, 認証に必要な知識量の設定として重要となる。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは b です。
指紋や顔で開けるスマホ、たまに「あれ、自分なのに認識しない…」とか「家族の顔でも開いちゃった!」ってことありますよね。生体認証はそういう“ミス”が完全には消せません。
- 本人なのに弾く(本人拒否率)
- 他人なのに通してしまう(他人受入率)
この2つのバランスを見て、ちょうどよく調整するのが大事——というのが答えです。
👉 覚え方:生体認証=厳しすぎても緩すぎてもダメ。バランス調整。
ほかの選択肢:a 電子証明書/c マルウェア定義(ウイルス対策の話)/d パスワード設計=知識認証の話。
なぜこれが正解か
正解は b。生体認証は確率的判定であり、FRR(False Rejection Rate:本人拒否率)とFAR(False Acceptance Rate:他人受入率)がトレードオフ関係にある。閾値を厳しくするとFARは下がるがFRRが上がり利便性低下、緩くすると逆。両者のバランスを業務要件に合わせて調整するのが導入時の核心。
各選択肢の解説
- a 電子証明書:PKI(公開鍵基盤)の話で、生体認証ではない。
- c マルウェア定義:アンチウイルス製品の話。本人拒否率とは無関係。
- d 知識量のバランス:パスワード(知識認証)設計の話。
覚え方・ひっかけ注意
「FRRとFARが交差する点=EER(等価エラー率)」が認証装置の性能指標。EERが低いほど高性能。「本人拒否=Reject(弾く)/他人受入=Accept(通す)」と英単語で覚えると混同しない。試験では「2つの誤り率を勘案」というフレーズが正解のサイン。
理論的背景
生体認証は生体特徴の登録テンプレートと提示サンプルの類似度スコアを閾値判定で照合する。スコア分布は本人分布と他人分布の重なり度合いで誤りが生じる。FRR(本人を他人と判定)とFAR(他人を本人と判定)はROC曲線で表現され、EER(Equal Error Rate)は両者が等しくなる点。製品比較ではEER以外にFAR=0.001%時のFRR等、用途別の評価が用いられる。
実務での使われ方
- 入退室管理:指紋・静脈・虹彩。指紋は表面状態(乾燥・汚れ)の影響大、静脈は偽造困難で金融機関のATMで普及。
- スマホ生体認証:FIDO2/WebAuthn対応で、生体テンプレートは端末内(Secure Enclave、TrustZone)に保管、サーバには送らない。
- 空港顔認証:JAL/ANAの「Face Express」、出入国管理。
- 多要素認証(MFA):知識(パスワード)/所持(トークン)/生体(指紋)の組合せで強化。
- PAD(Presentation Attack Detection):偽造指紋・写真顔・3Dマスク等の対策が必須。ISO/IEC 30107で規格化。
試験での位置づけ
基本情報・応用情報・情報処理安全確保支援士のセキュリティ分野で必出。FIDO2、パスキー、行動的生体認証(タイピング・歩容)など最新動向も近年問われる傾向。
選択肢の発展補足
知識認証(パスワード)のリスクは流出・再利用・脆弱性。所持認証(ハードトークン、スマホ)は紛失・盗難。生体認証はテンプレート漏洩時に変更不可という致命的特性があるため、テンプレート保護(ISO/IEC 24745:Biometric Information Protection)も重要論点。
出典:IPA(情報処理推進機構)公式 基本情報技術者試験 平成30年度 秋期 問45/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。