カード認証と暗証番号認証がもたらす情報漏洩リスク

オフィス入退室を限られた人にする場合、カード認証や暗証番号認証を導入・運用している企業が一般的です。カード認証や暗証番号認証は不特定多数の出入りを制限し、防犯・情報漏洩の危険性を抑制する効果が期待できる一方、近年カードの紛失や暗証番号の流出、第三者への情報漏洩などの事例が多く散見され課題が見受けられます。カード認証や暗証番号認証以外の入退室管理システムとして、最新の認証システム顔認証や指紋認証などの生体認証があります。この記事では、カード認証や暗証番号認証システムのリスクについて解説します。

◎入退室のセキュリティシステムを導入するメリット

入退室管理システムとは施設の出入り口に設置した認証機器により、施設へ出入りした人の入退室記録をパソコンやクラウドで管理をするシステムです。入退室管理システムで管理する情報は本人確認および入退室の時間が履歴により保管されます。一般的には、カード認証システムや暗証番号認証システム、顔認証や指紋認証などの生体認証システムが使用されています。入退室管理システムは、施錠されるたびに詳細な記録が管理されるため、物理的な鍵を用いた入退室に比べ、人為的トラブルや情報漏洩を防ぐことができます。そのため、入退室システムの導入については、セキュリティ性能の向上および、情報漏洩対策につながり、さまざまな企業・施設・会場などで導入されています。入退室管理システムが必要とされるシーンは、オフィスの出入り口やマンションのエントランスなどに防犯カメラと合わせて設置されることが多く、主に建物への侵入に対するセキュリティ強化、入退室者の時間管理などに利用されています。また、日常的に人の出入りが多く混雑が予想される場所や、外部に漏洩してはいけない社外秘情報を扱っている企業に情報漏洩対策として適しています。企業の情報漏洩に関するトラブルは、取引先様との信頼に大きく関わるため、情報漏洩対策として、入退室システムを導入することが、多くの企業で一般化しています。ほかにも、近年は防犯カメラの機能を持ち合わせたシステムも普及してきており、オフィスだけではなく店舗やイベント会場での設置も増えています。これらの入退室管理システムの導入・運用により取得したデータは、利用者の入退出管理はもちろん、不審者の侵入防止、第三者への情報漏洩の対策につながります。情報漏洩と聞くと、企業の重要な情報が外部に漏れるということを多くの人は強くイメージします。実は企業で発生している情報漏洩の対象となる情報は、企業情報だけではありません。企業が保持している機密情報の情報漏洩だけではなく、従業員や関係者の個人情報漏洩の危険性があります。個人の情報漏洩は免許証やマイナンバーカードなどの顔写真付きの要素があるものから発生することが多く、とくにマイナンバーには個人を特定しやすい情報が登録されています。個人の情報漏洩が発生すると、名前はもちろん、生年月日や住所などが外部に漏れてしまいます。最悪の結果としてはクレジットカード番号や銀行の口座番号が入手されてしまい、金銭トラブルに巻き込まれる可能性があるのです。このように個人的人権を守るためにも、安全なセキュリティ対策を導入し、情報漏洩のリスクを回避する必要性があります。情報漏洩が起こる事例として多くあげられる要因は部外者の不法侵入、関係者の内部不正があります。近年の入退室システム・セキュリティ方法については、さまざまな認証システムが存在し、利用する環境・施設・場所により、適切な認証方法の選択が重要となります。入退室システムとして鍵の施錠以外にも、出退勤管理との連携や、施設・店舗など入場時の体温検知、施設利用時の入場許可システムなど、便利な機能を有したシステムがあります。認証システムである「カード認証」と「暗証番号認証」については、認証システムの仕様上、導入環境により脆弱性を有しており、情報漏洩などのリスクがあるため、導入に際しては各認証システムの仕様や脆弱性の理解、運用コストなどを事前に確認・検討する必要があります。さらに、情報漏洩が発生するメカニズムや、悪意のある第三者の行動パターンなどを理解することにより、万全な入退室システムの導入・運用が可能となります。

◎カード認証によるリスクとデメリット

一般的な入退室システムのひとつに「カード認証」があります。カード認証とは、専用の認証カードに入退室ができる権限を付与し、カードを保持している全員が入退室できる認証システムです。カード認証はカードリーダーにカード鍵をかざすだけで入退出ができ、電車の改札などでもお馴染みの動作（カード認証）であるため、使い方がわかり易く、だれでも簡単に使える認証システムです。また、カード認証時は非接触により解錠・施錠が可能であるため、昨今の感染症対策などの衛生面においても効果が期待できます。カード認証のカード鍵は薄く軽い形状のため、財布やポケットに収納ができ手軽に持ち運びができ収納・携帯性に優れています。また、首から下げるストラップなどに社員証と合わせてカード認証のカード鍵を携帯することもできます。しかしながら、カード認証システムは、カード認証鍵の携帯性が優れているが故に、紛失や盗難リスクを有しており、それらは情報漏洩などの危機につながる脆弱性を有しています。カード認証のカード鍵を紛失したり、盗難に合ってしまった場合、万が一部外者の手に渡り権限の無い者が入退出をするなど、悪用される可能性があります。企業などの重要情報の情報漏洩・その他損失の発生にまで至る可能性があります。カード認証システムの場合、セキュリティレベルを維持するための重要な要素として、権限のある個人1人ひとりが厳重な管理をする事が重要なファクターとなります。企業であれば、多くのスタッフ1人ひとりに対して、カード認証鍵の管理を徹底することが大変重要である反面、スタッフの人数に比例して、上記のリスクを抱える事となり、情報漏洩などの対策に対しては、脆弱性を有していると言わざるを得ません。言い換えると、カード認証システムは、個人との信頼関係でのみ成立している認証システムであるということです。カード認証の具体的なセキュリティ脆弱性・情報漏洩が発生するシーンとして、紛失・盗難の他に、意図的に部外者への貸し出しや、休日・カード忘れによる社員同士での貸し借りなどがあげられます。それらは、個人レベルでの判断により容易に実行できてしまいまい、最悪の場合、情報漏洩などが発生し多大な損失を被ることとなり、さらに原因となった個人を特定することは、カード認証の特性上、困難である場合が多くあります。カード認証のカード鍵さえ持っていれば、本人以外の部外者が施設に入退室してもカード認証システムでの検出・発見は、ほぼ不可能だからです。またカード認証の脆弱性として、「共連れ」があげられます。入退室権限を持った人物と同行者が一緒に入室（共連れ）しても、カード認証システムは検出・エラーが起こることはありません。このカード認証の共連れによる部外者の入退室は、企業や個人レベルでのセキュリティ認識の甘さなどが原因として発生することが多く、情報漏洩の発生に繋がる可能性があり、セキュリティ的な脆弱性のひとつであると言わざるを得ません。ほかにも、カード認証におけるデメリットとして、カード認証時に必要な物理カード鍵は、折れ曲がりなどの破損や、ICチップの磁気不良、経年劣化による破損など、不意なトラブルなどにより利用できなくなる場合があり、カード認証による入退出ができず、業務等に支障がでる可能性があります。その為、破損や経年劣化などのトラブルを想定すると、カード認証システムの導入に際しては、定期的なカード認証鍵の再発行を行う必要があり、それらの業務負担・追加費用も発生します。カード認証システムの導入に際しては、初期の導入コストがかかるといえるでしょう。カード認証システムについては、携帯性・使いやすさが優れている反面、セキュリティレベルの維持や脆弱性のリスク排除については、カード認証システムの権限を有している個人ごとに依存しており、カードの貸し借り、盗難などによる不正侵入や情報漏洩対策としては、万全ではない入退出システムとなります。昨今、情報漏洩などを防ぐ入退出システムとしては、生体認証を使用したシステムが推奨されており、個人により異なる身体的特徴を使用した認証システムです。カード認証システムのリスクである、認証鍵の貸し借りや盗難、破損ならびに、共連れなどを抑制するシステム設計・認証方法であるため、情報漏洩の対策に効果が期待できます。

◎暗証番号認証のリスクとデメリット

「暗証番号認証」とは、テンキーやタッチパネル画面上に、0から9までの数字を4〜6桁程度の番号を組み合わせ、個人を認証する入退室システムです。暗証番号認証は、カード認証とは違い「物理的な鍵」を必要としないため、鍵の紛失・盗難などのリスク回避ができます。しかしながら反面、暗証番号認証システムの端末に番号を入力する際、背後や横から部外者に番号を覗き見され、暗証番号認証の番号が盗み見される、所謂ショルダーハッキングにより、情報漏洩の危険性があります。また、部外者は直接入力している端末を目視せずとも、入力者の指の動きで暗証番号認証の番号が推測される危険性もあります。暗証番号認証システムの暗証番号入力の際に立ち会わずとも、会話や番号を記載したメモ、書類の紛失・盗み見、その他想定外な原因で認証番号が部外者に取得され、万が一悪意のある場合は、不正な侵入による盗難や情報漏洩につながる可能性があります。暗証番号認証による不法侵入者を防ぐために監視カメラを設置している企業もありますが、監視カメラが不正にアクセスされ、暗証番号入力が可視化されると情報漏洩のリスクが高まってしまいます。また、暗証番号認証のシステムに設定している暗証番号について、万が一、他のサービス（銀行ATMや個人情報の認証番号、スマートフォンなど）で使い回しをしているような場合は、連鎖的に被害が拡大する可能性もあり、想定外な情報漏洩の危険性もあるといえます。暗証番号認証を利用する際のデメリットは、暗証番号認証システムで許可された利用者であっても、万が一暗証番号を失念してしまったり、誤った番号で記憶してしまい正確な番号を入力できず入解錠・施錠ができなくなることです。暗証番号認証が導入されている施設などで利用の際は注意が必要です。暗証番号を忘れないよう紙などに記録しておくことも、盗み見や盗難などのリスクがあるため、推奨はされておらず、それらリスクを回避する方法は、1人ひとりの記憶のなかで管理するほかありません。また暗証番号がデータ上で不適切な方法で記録された場合も情報漏洩が発生する可能性があります。暗証番号認証のリスク回避として、一部の暗証番号認証システムについては、定期的に暗証番号を変更する機能や、利用するたびにタッチパネル画面上の数字の配列がランダムに変わる機器があります。番号を入力するたびに配列が変わる暗証番号認証システムは、残留指紋による番号を察知されるリスクが軽減され、セキュリティレベルの向上ならびに、情報漏洩対策の強化につながります。さらに暗証番号認証の防犯対策性能を高めるための機能として、暗証番号を連続して間違えると、一定時間番号の入力ができなくなる暗証番号認証システムもあります。暗証番号認証については、カード認証とは違い物理的な鍵の紛失・盗難のリスクは回避できますが、暗証番号認証の番号入力に際しては、周囲の不審者等の不在確認や暗証番号の正確さの確保といった側面については、カード認証に比べデメリットが多くあります。また、暗証番号の使い回しは、万が一漏洩した場合、想定外な被害をもたらす危険性があるため、避けたいところです。暗証番号認証システムは認証権限を有する個人の暗証番号管理に依存するため、導入している企業や施設においては各個人への情報管理の徹底が必要です。また暗証番号の漏洩対策として、強力なパスワードの設定、定期的なメンテナンス運用が重要となり、結果的に不正侵入の阻止、情報漏洩対策の一役となります。

◎顔認証システムは個人の顔を用いたセキュリティシステム

顔認証システムは、専用のカメラ・システムで個人の目や鼻・口などの形状を元に本人確認を行い、セキュリティ管理をする生体認証システムです。顔認証は、入退室において不要な事態が発生した際、管理システムの入退室時の履歴情報から該当する人物を特定することができ、内部不正や部外者の不法侵入の早期発見につながり、情報漏洩対策にも大変効果が期待できます。入退室管理の顔認証システムは、「顔検出」「特徴点検出」「顔照合」の3ステップがあり、高度な認証セキュリティが可能となり、情報漏洩対策やなりすまし、偽装による不法侵入が防止できます。入退出の際に登録した顔を読み取り機に向けるだけで認証が開始するため、物理的な認証鍵を必要としません。また登録をしていない人物の共連れが発生したとしても、蓄積したデータを元に共連れが起こった状況や、該当する人物の特定・追跡も容易に行なえます。さらに、1度の認証サイクルで複数人の顔認証が可能であり、人の流入が多い施設などの出入り口では混雑の緩和策となります。顔認証は顔のデータのみでの認証方法のため、直接機器に触れる必要がないこともメリットのひとつです。荷物を持ち両手が塞がっている場合でもいちいち持ち替えたり、荷物を置いて立ち止まる必要がありません。さらに、顔認証システムにはカメラの前で立ち止まり顔をリーダーへ向けることなく、そのまま通り過ぎるのみで認証が可能なウォークスルータイプもあります。また、現代の入退室システムは衛生管理も同時に必要とされており、顔認証は非接触型で検温機能も備わっているタイプもあります。検温機能があることで発熱症状がある人の制限も可能です。このように顔認証システムは、高いセキュリティレベルを維持し、情報漏洩対策にも大変有効であるとともに、衛生的で感染対策にも適しているシステムなのです。

◎指紋認証システムは個人の指紋を用いたセキュリティシステム

「指紋認証」とは個人の指紋を認証機器のセンサーに読み取らせ、登録した指紋データと照合し、合致すれば認証される生体認証システムです。指紋は個人で異なるため、生体認証システムとして高度なセキュリティレベルが維持され、なりすましや偽造による不正解錠の防止、情報漏洩対策が期待できます。顔認証と同様、事前に利用者の指紋をシステムに登録する必要があります。さらに、指紋認証は生体認証のなかでも比較的導入コストが低く設置が容易なため、企業はもちろん、扉を必要としないイベント会場、空港ゲートなどの限られた時間で多くの来場者が訪れる場面で広く活用されています。また、入退出許可の登録や削除も容易なため、在籍メンバーの入れ替わりが多い学校や工場でも多く取り入れられています。入退出時の認証方法は、センサー部に指を当てるだけで認証される仕組みなので、小さな子どもやご高齢の方も簡単に操作がしやすく安全性が保たれるメリットがあります。ほかにも、自宅のマンションや賃貸物件でも指紋認証システムが導入されています。施錠が鍵のタイプの物件の場合、万が一鍵を紛失してしまうとシリンダーの交換費用などは借り主の負担となります。また入居者がカギを返却しない場合は、情報漏洩対策のためカギを新しく取り替えなければなりません。物理的に鍵を持たない指紋認証システムを導入することにより、このような住宅トラブルの回避策となります。

◎KJTECH&KJTECHjapanの顔認証・指紋認証システム製品

カギ舎株式会社は、セキュリティ企業株式会社KJ-TECHの正規代理店です。安心安全な入退室システムのひとつである顔認証や指紋認証は、個人である1人ひとりの持つ顔や指紋を利用した認証方法です。カード認証や暗証番号認証とは異なり、紛失やなりすましのリスクがないため、情報漏洩につながる要素・脆弱性がありません。KJTECH&KJTECHjapanは安全かつ高度なセキュリティ性能を兼ね揃えています。

◯最大5名まで認証ができる顔認証システム「FE-600」
FE600

顔認証システムの「FE-600」は、1度に最大5名までの認識が可能なマルチフェイス認証を搭載し、さらに認証の際にマスクやサングラスを装着していても登録者かどうか検知する機能を持ち合わせています。

認証距離は2〜3m離れた人物の顔認証が可能で、動体機能も有しているため、人混みに紛れて侵入を試みる不審者・侵入者も早期に発見することができます。顔認証以外にもカード認証・指紋認証にも対応しており、環境・用途にあわせて必要な認証方法を選べます。顔認証システムFE-600は、粉塵対策を施しており屋内や屋根がある場所だけでなく、屋外・工事現場や野ざらしの場所でも利用が可能です。顔認証システムはカード認証や暗証番号認証とは異なり、個人の顔の一部を用いて認証をするので情報漏洩につながる要素・脆弱性がありません。

◯認証速度が世界最速の指紋認証システム「KJ-3500」
KJ3500

指紋認証システムの「KJ-3500」は、0.1秒から0.3秒の世界最速の認証速度と体調や設置環境に左右されない高水準な照合精度を持ち合わせています。ひとりにつき5本以上の指紋登録ができ、万が一指を怪我して認証ができない場合でも別の登録した複数の指で認証が可能ということです。認証精度が高いため、登録した指を認証に斜めにおいてしまっても問題なく認証ができます。指の表皮より奥にある真皮まで認証ができるため、指紋認証の弱点でもある水濡れや肌荒れによる乾燥した指も確実に認証ができます。入退室管理システムと連携できる勤怠管理が搭載されているため、作業効率も図れます。指紋認証はカード認証や暗証番号認証とは異なり、個人の指紋を用いた認証のため、情報漏洩につながる要素・脆弱性が低いのです。

◎業種別KJTECH&KJTECHjapan製品の活用事例

KJTECHの入退室管理システムはカード認証や暗証番号認証ではなく、情報漏洩対策の効果が高い顔認証や指紋認証などの生体認証システムの製品を多く取り扱っています。情報漏洩対策が重要な企業での利用はもちろん、最近では多くの利用者が出入りする介護施設や24時間体制のフィットネスジム、無人受付の施設、食品加工工場などで多く導入されています。

◯介護施設でFE-600を用いた事例

介護施設では個人の顔を確認できるFE-600を導入することで、職員の仕事の効率化と入居者の安全を得ることができました。介護施設では日頃から入居者に合わせた介助が職員は必要とされています。介助の際はどうしても両手が塞がっていることも多かったため、手をとめなくても認証できる顔認証を選んだということです。さらに入居者が外出する際も、顔認識により個人が特定されることで情報漏洩に繋がることなく、安全性や防犯性も高まりました。

◯フィットネスジムや無人受付でFE-600を用いた事例

不特定多数の人の出入りがあるフィットネスジムはカード認証システムで管理している施設が多く、情報漏洩による不正なカード利用者が多く存在していました。このようなトラブルを回避するためフィットネスジムでは顔認証システムのFE-600の導入が広がっています。顔認証の導入はカードの不正利用や第三者によるなりすまし、暗証番号の流出での部外者の侵入を防ぐことに成功しました。さらには受付の人員削減にも繋がり、人件費のコストも抑えられました。

◯物流会社や工場でKJ-3500を用いた事例

物流会社や工場では登録した個人の指紋で認証ができるKJ-3500の導入が進んでいます。KJ-3500は指が汚れていたり濡れた状態であっても機器に指を当てるだけで認証が可能なため、設置する場所に制限がありません。オートロック機能も備わっているため、大型の荷物や輸送物の搬出入の際も1度ドアを開けてしまえば自動的にドアが施錠されます。

◎まとめ

入退室管理システムの導入は企業と個人の情報漏洩を防ぐ重大な役割を担っていますが、カード認証と暗証番号認証は情報漏洩のリスクが高いといえます。カギ舎では情報漏洩のセキュリティ対策に長けた顔認証や指紋認証を用いた入退室管理システムを取り扱っています。入退室管理システムの導入でのご相談やお問い合わせは、年中無休で24時間受付しております。入退室管理のプロが、使用用途や規模に適した認証システムをアドバイスさせていただきます。ぜひお気軽にご相談ください。

<<　一覧に戻る

カード認証と暗証番号認証がもたらす情報漏洩リスク

カギ舎セキュスターズ株式会社