ITパスポート 令和8年度 問80:securityに関する問題
バイオメトリクス認証に関する次の記述中の a, b に入れる字句の適切な組合せはどれか。バイオメトリクス認証を利用したシステムの設計を始めるときには,システムの目的と認証の用途を明らかにし,認証精度の設定方針を策定することが必要である。他人受入率が「a」なるように設定した場合は,安全性を重視した認証になり,本人拒否率が「b」なるように設定した場合は,本人の利便性を重視した認証になるといえる。
- aa=高く, b=高く
- ba=高く, b=低く
- ca=低く, b=高く
- da=低く, b=低く正答
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは d(a=低く, b=低く) です。
指紋や顔で本人確認する仕組みには、2つの「失敗率」があります。
・他人受入率=他人をうっかり「本人だ」と通してしまう割合
・本人拒否率=本人なのに「違う」と弾いてしまう割合
安全をガチガチに重視したいなら、他人を通す確率(他人受入率)を“低く”します。逆に、本人がスムーズに使える便利さを重視したいなら、本人を弾く確率(本人拒否率)を“低く”します。
👉 覚え方:「安全=他人を入れない(受入率を低く)」「便利=本人を弾かない(拒否率を低く)」。
どちらも“低く”したい話なので、a=低く・b=低く のdが正解です。
なぜこれが正解か
正解は d(a=低く, b=低く)。バイオメトリクス認証には2つの誤り率がある。他人受入率(FAR:他人を本人と誤って受け入れる率)と本人拒否率(FRR:本人を誤って拒否する率)。
- a:安全性を重視するなら、他人を通さないよう「他人受入率を低く」する。
- b:本人の利便性を重視するなら、本人がはじかれないよう「本人拒否率を低く」する。
よって両方とも「低く」のdが正解。
トレードオフの理解
FARとFRRは判定のしきい値を通じてトレードオフの関係にある。しきい値を厳しくするとFARは下がる(安全↑)がFRRは上がる(不便↑)。逆にしきい値を緩めるとFRRは下がる(便利↑)がFARは上がる(危険↑)。両方を同時に極小にはできない。
覚え方・ひっかけ注意
本問は「安全重視ならa」「利便重視ならb」を別々に問うており、どちらも“低くする方が望ましい”ので答えは「低く・低く」。FAR(他人受入=なりすまし側)とFRR(本人拒否=締め出し側)の意味を取り違えないこと。FAR小=安全、FRR小=便利、と紐づける。
理論的背景
バイオメトリクス認証(生体認証)の精度評価において、他人受入率(FAR:False Acceptance Rate)と本人拒否率(FRR:False Rejection Rate)は相互にトレードオフの関係を持ち、本問正解dの「a=低く・b=低く」という組み合わせは一見矛盾するように見えるが、実際にはそれぞれ独立した設計目標として機能する。
本問の解釈:「他人受入率が低くなるように設定→安全性重視」(他人が誤って認証される確率を下げる=閾値を厳しく設定)。「本人拒否率が低くなるように設定→本人利便性重視」(本人が誤って拒否される確率を下げる=閾値を緩く設定)。これらは確かにトレードオフ関係にある(一方を低くしようとすると他方が高くなる傾向)が、本問は「どちらの設計が何を重視するか」という使途の識別を問うており、同時達成の可否を問うているのではない。
EER(Equal Error Rate:等エラー率)はFARとFRRが等しくなるポイントで、認証システムの性能を単一指標で表す指標。EERが低いほどシステムの総合精度が高い。ROC曲線(Receiver Operating Characteristic)でFARとFRRのトレードオフを視覚化し、システムの用途に応じた動作点を選択する。
実務での使われ方
指紋認証・顔認証・虹彩認証・静脈認証・音声認証という主要5方式はそれぞれEER・使用シーン・コスト・ユーザー受容性が異なり、用途に応じた選択が重要。スマートフォンのFace ID(顔認証)は利便性重視でFRRを低く設定。入国審査・刑事捜査向け虹彩認証は安全性重視でFARを極限まで低く設定。金融機関のATM生体認証は両者のバランスを取ったEERポイント近傍で動作させる。
FIDO2(Fast Identity Online)認証仕様はパスワードレス認証の国際標準で、WebAuthn(Web Authentication)とCTAP(Client to Authenticator Protocol)で構成される。生体認証は端末内でのローカル認証に使われ、認証情報(秘密鍵)は端末外に送出されないため、サーバサイドのデータ漏洩リスクがない設計となっている。
試験での位置づけ
バイオメトリクス認証の精度指標(FAR・FRR・EER)はITパスポートのセキュリティ分野で毎年出題される重要トピック。本問のような穴埋め問題(a・bに入れる値)の形式は「各設定が何を重視するか」の論理的判断が問われる。「他人受入率が低い=厳しい閾値=安全性重視」「本人拒否率が低い=緩い閾値=利便性重視」という2軸の整理が鍵。近年のITパスポート試験ではFIDO2・パスキー(Passkeys)・多要素認証(MFA)とバイオメトリクスの組み合わせを問う問題が増加している。基本情報技術者試験ではEERの計算・ROC曲線の解釈・FIDO2の技術仕様・Liveness Detection(生体性検証:顔認証でのなりすまし防止)まで踏み込んだ問題が出題されることがある。
選択肢の発展補足
選択肢aの「高く・高く」はFARが高い(他人を大量に受け入れる)かつFRRが高い(本人を大量に拒否する)という最悪の組み合わせで、現実のシステム設計では意味をなさない選択。選択肢bの「高く・低く」はFARが高い(安全性が低い)かつFRRが低い(利便性が高い)という設定で、利便性は高いが安全性が犠牲になる。選択肢cの「低く・高く」はFARが低い(安全性高い)かつFRRが高い(本人がよく拒否される)設定で、高セキュリティ要件(軍事施設・金庫室等)での典型的な設定に近い。EERを最小化する文脈では、機械学習による特徴量抽出の精度向上(深層学習ベースの顔認証:FaceNet・ArcFace等)がFARとFRRを同時に低下させることができるため、本問のdの「両方低く」は理想的な目標状態を表すと解釈することもできる。現実には認証閾値の移動でFARとFRRはトレードオフになるが、アルゴリズム・センサーの精度向上によってEER自体を下げることで両者を同時改善できる。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和8年度 問80/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。