例えばスマホのロックを解除するとき、暗証番号よりも顔認証や指紋認証を使っている人が多いと思います。画面に触れるだけ、見るだけで開くので、とっても便利です。では、セキュリティー水準も暗証番号より安全なのでしょうか？

　結論をぽんと書くなら多くの場面～例えばスマホを置き忘れたとか～でより安全になりやすいです。一方で、万能ではないので、使い方には注意が必要です。ポイントはその長所と短所を知ることです。

　暗証番号（PIN）は、肩越しに見られたり、画面の汚れから推測されたりすることがあります。誕生日などの推測されやすい番号を使う人もいまだに多数に上ります。

　その点、顔や指紋は覚える必要がない上に、盗み見されにくい特長をもっています。さらに、一定回数失敗するとリトライまでに時間がかかるなどの仕組みもあり、総合すると弱い暗証番号を使うよりも安全であることが多いです。

　生体認証の厄介な点は、本人が解除したくないと思っている場面でも、条件がそろうとロックが解除されてしまうことです（逆に使いたいときにうまく機能しない～指紋認証で手がかさついてるとか～こともあります）。例えば寝ている間に顔を向けられる、指を当てられる、といったケースです。暗証番号よりも、本人の同意を迂回しやすい側面があります。

　対策としてスマホによっては、「目を開けている必要がある」「注視を要求」など、勝手にロック解除されることを防止する機能があります。

　偽造されるリスクはどうでしょう？　写真で顔認証が突破される、指紋をシリコンなどで複製されるなどのやり口です。

　確かに過去の技術では写真や精巧な指紋模型で、ロックを解除できてしまう事例もありました。しかし最近のスマホは、カメラだけでなくセンサー併用で顔の凹凸まで見るなどして、なりすましをされないようにしています。

　総じて生体認証そのものの安全性はある水準で達成されているのですが、端末がどのくらいの精度で「本人か」「本物らしいか」を見抜けるかは、端末のつくりに依存します。ここは端末間の差が出やすいところです。安全に関わることなので、スマホを選ぶときに注意したいポイントです。ぜひお店の人とも相談しながら決めましょう。

　また、パスワードの数少ない利点として。「漏れても変えられる」があります。生体認証は強固でも、その要素である顔や指紋は（基本的に）変えることができません。だからこそ、スマホは指紋そのものではなく、特徴を数値化したものを隔離領域に保存し、ネットワークには流さないようにしています。いろいろ工夫しているわけです。

　一つ覚えておくといいのは、生体認証は単体で完璧を目指すより、端末内を安全に運用することとセットで意味が出やすい点です。よくあるセットは「生体認証＋暗証番号（PIN）」です。具体的には次の連鎖を起こせます。

暗証番号を長くできる

生体認証をON　→　ロック解除の回数が増えても長い暗証番号を維持しやすい

　　　　　　　　→　ロック解除時に暗証番号を盗み見されない

いざという時は暗証番号でロック解除できる

　結局パスワードかい、という話ですが、欠陥の多いパスワードという仕組みと組み合わせることで、良いパスワードの状態を維持しやすく、かつ生体認証自体が持つ弱点も緩和する運用方法です。大事なのは強みと弱みを理解して使うことです。完璧は存在しないセキュリティーの世界で便利さを享受しつつ、落とし穴も踏まえて使っていきましょう。

【著者略歴】

　岡嶋　裕史（おかじま　ゆうし）　中央大学国際情報学部教授／中央大学政策文化総合研究所所長。富士総合研究所、関東学院大学情報科学センター所長を経て現職。著書多数。近著に「思考からの逃走」「プログラミング/システム」（日本経済新聞出版）、「インターネットというリアル」（ミネルヴァ書房）、「メタバースとは何か」「Web3とは何か」（光文社新書）、「機動戦士ガンダム ジオン軍事技術の系譜シリーズ」（KADOKAWA）。Eテレ スマホ講座講師など。