ITパスポート 令和4年度 問75：情報セキュリティ・認証に関する問題

答えは c です。

バイオメトリクス認証は、その人の“体の特徴”でログインする方法。指紋や顔だけでなく、実は「文字の書きグセ（筆跡）」や「キーボードを打つリズム」のような“行動のクセ”も本人確認に使えます。

👉 覚え方：「バイオ＝体や行動のクセで本人確認」。

ほかの選択肢はどれも“まちがい”です：a 指紋はのぞき見では盗めない（パスワードと違う）／b 今のスマホには普通に指紋・顔認証が付いている／d 他人を本人と間違える危険はゼロではない（必ず誤りは起きうる）。だから正しいのは c だけです。

なぜこれが正解か

正解は c。バイオメトリクス（生体）認証には、指紋・顔・虹彩・静脈などの「身体的特徴」だけでなく、筆跡・署名・キーストローク（打鍵のリズム）・声紋・歩行などの「行動的特徴」も含まれる。cはこの行動的特徴を正しく述べている。

各選択肢の解説

• a：指紋・静脈は体の内部・接触情報で、のぞき見（ショルダーハック）では容易に盗めない。むしろのぞき見に強いのが生体認証の利点。
• b：センサの小型化でスマホにも指紋・顔認証が広く搭載されており誤り。
• d：生体認証には本人拒否率(FRR)・他人受入率(FAR)があり、誤認証のリスクはゼロにできない。

覚え方・ひっかけ注意

「生体＝身体的＋行動的の2タイプ」。dの『リスクがない』など“絶対・100%”を断言する選択肢は誤りの定番。

理論的背景

バイオメトリクス認証（Biometric Authentication：生体認証）は人間の身体的または行動的な特徴を利用した本人確認技術であり、正解cの通り「筆跡やキーストロークなどの本人の行動的特徴を利用したものも含まれる」。バイオメトリクスは大きく2種類に分類される。①身体的バイオメトリクス（Physiological Biometrics）：指紋・顔・虹彩・静脈・手形・DNAなど。②行動的バイオメトリクス（Behavioral Biometrics）：筆跡（署名の速度・圧力・動きのパターン）・キーストロークダイナミクス（タイピングの速度・リズム・キー間の間隔）・歩き方（歩行パターン）・音声パターン。

バイオメトリクス認証システムの性能評価指標として「FAR（False Acceptance Rate：他人受入率）」と「FRR（False Rejection Rate：本人拒否率）」がある。FARは「別人を本人として誤認証してしまう確率」、FRRは「本人を拒否してしまう確率」で、両者はトレードオフの関係にある。セキュリティを厳しくすれば（閾値を高くすれば）FARが下がりFRRが上がる。この2つが等しくなる点をEER（Equal Error Rate：等エラー率）と呼び、システムの認識精度の指標として使われる。最新のスマートフォン指紋認証センサーのFAR/FRRは0.001%以下の水準に達している。

実務での使われ方

現代のバイオメトリクス認証は多様な分野で実用化されている。①スマートフォン：指紋認証（Capacitive・Optical・Ultrasonic in-display）・顔認証（FaceID：3D構造光センサー）・虹彩認証（Samsung Galaxy等）が搭載されている。②金融・決済：ATMの指静脈認証（富士通PalmSecure）・顔認証決済（中国・タクシー等では普及済み・日本のコンビニでも実証実験）。③国境管理：e-Passport（ICチップに顔写真の生体情報を記録）・自動顔認証ゲート（日本の空港では顔認証型自動化ゲートが展開中）。④行動バイオメトリクスの実用化：金融機関の不正取引検知（NICE Actimize・BioCatch等）でキーストロークダイナミクス・マウス操作パターンによる継続的なユーザー認証が実用化されている。

選択肢bの「装置が大型なので携帯電話・スマートフォンには搭載できない」は明確な誤りである。スマートフォン向けの小型指紋センサー（0.6mm厚未満の光学式センサー）・マイクロカメラを使った顔認証・超小型虹彩センサーが量産化されており、現代のスマートフォンには複数のバイオメトリクス認証が標準搭載されている。

試験での位置づけ

ITパスポートの情報セキュリティ・認証分野でバイオメトリクス認証は近年出題頻度が増加しているテーマである。本問の核心ポイントは「行動的特徴（筆跡・キーストローク）もバイオメトリクス認証に含まれる」という範囲の正確な理解と、「スマートフォン搭載不可能（b誤り）」「ショルダーハックで漏洩（a誤り）」「他人受入リスクゼロ（d誤り）」という3つの誤った選択肢を排除することである。特にaの「ショルダーハックで漏洩しやすい」は指紋・静脈が一見「見えない情報」のように感じられるが、高解像度カメラで指紋パターンの取得が技術的に可能な点で完全には安全でない点に注意が必要である。

基本情報技術者（FE）ではバイオメトリクス認証のFAR・FRR・EERの意味と相互関係、多要素認証（MFA）における「所持+生体」の組み合わせ、FIDO2（Fast Identity Online：WebAuthn）規格によるパスワードレス認証の概念が問われる。情報処理安全確保支援士（SC）では連続認証（Continuous Authentication）・リスクベース認証（ログイン挙動・場所・時刻等のリスクスコアに基づく追加認証要求）・生体情報の漏洩対策（Template Protection技術：Fuzzy Vault・キャンセラブルバイオメトリクス）まで問われる。

選択肢の発展補足

選択肢aの「ショルダーハックによる認証情報の漏洩」との誤りについてさらに詳述すると、指紋については「latent fingerprint（潜在指紋）」の採取と偽指紋（シリコン製模型）による認証突破が研究・実証されており、特に静電容量式センサー（Capacitive）ではある程度の攻撃が成立するケースがある。しかし光学式・超音波式（Qualcomm 3D Sonic）ではラテックス指紋に対する耐性が高まっており、ライブネス検知（Liveness Detection）の組み合わせでなりすまし攻撃への耐性が強化されている。

選択肢dの「他人を本人と誤って認証するリスクがない」は絶対に成立しない記述である。前述のFAR（False Acceptance Rate）が存在する限り、確率的なミス認証のリスクは常に存在する。「リスクがない」という絶対的な主張はセキュリティの文脈で極めてまれにしか成立せず、ほぼ常に誤りとして扱える重要な判断ルールである。FIDO2準拠の認証器でも技術的にFARはゼロでなく、適切なEERのシステム選択と物理的管理（デバイス盗難防止）の組み合わせが現実的なセキュリティ確保の手段となる。