Scribble at 2023-05-04 10:48:59 Last modified: 2023-05-04 10:56:19

添付画像

秘密情報(credentials)を使った資産へのアクセスは、もちろんいまでもパスワードなりパスフレーズが大半の実装を占めている。そして、ここ最近は FIDO アライアンスが規格を提唱して、多くの企業のサービスや機器が生体認証に対応してきている。もちろん、たとえハッシュ化して扱っていようと生体情報は高度な個人情報であり、僕は企業の個人情報保護管理や(chief privacy officer)や情報システムの長としても、業務に利用する機器や資産へのアクセスに社員の指紋や顔や虹彩といった生体情報を要求するのは、端的に言って憲法第13条違反や、生体情報を提供しない社員に就業規則で懲罰を加えるような雇用契約は公序良俗違反になりえると理解している(ちなみに僕は、学部は法学部法律学科の出身で刑事法学が専攻だった)。

ただ、プライベートに自分自身の責任で導入することには問題がないと思う。なので、僕はこういう堅苦しいことを社内ですら(何人が理解しているのかはともかく)口にしているわけだが、他方で生体認証の便利な使い方も解説している。もちろん、これは妥協というものではなく、条件によって適した目的で有利な(あるいは便利な)方法を選ぶという合理性の話である。何でもかんでも禁止だの、あるいはイケイケ・ゴーゴーというのは、それこそ脳筋のやることだ。

もちろん、パスワードよりも生体認証の方が優れている場面もある。実際、設定したはずなのにパスワードが通らないという奇妙なログイン画面は多いから(AWS もそうだ。なんなんだあれは)、逆にブラウザにパスワードを記憶させるという危険な習慣がつきやすい。そういうことを習慣づけるくらいなら、生体認証の方がマシである。もちろん、生体認証も第一種・第二種の過誤が起きるリスクは常にあるわけだが、第二種の過誤(別人のログインを許す)という脆弱性について、それに対応する脅威は本人から防ぎようがないのだから、第一種の過誤(本人が正しくログインできない)という脆弱性にだけ対応する脅威、つまり指を怪我するとか加齢によって指が認識れにくい状況さえ本人で対処できればいい。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る

※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook