AppleのTouch IDにおける利便性とセキュリティの課題

Lexie Lu

Lexie Lu氏はデザイナーでブロガーです。ウェブとグラフィックデザイン業界の流行について学ぶのが大好きです。毎週Design Roastに寄稿していて、Twitterでは@lexieludesignerでフォローできます。

この記事はUsabilityGeekからの翻訳転載です。配信元または著者の許可を得て配信しています。

Apple’s Mobile Touch ID System: Convenience Or A Security Risk? (2016-07-11)

AppleのモバイルTouch ID:利便性か、セキュリティリスクか?

最先端のテクノロジーに興味がある人にとっては、新技術、あるいは技術改良が続々と行われているのを感じていることでしょう。技術改良の多くは、より良いUXの創造やセキュリティの改善を目指すものです。たとえばAppleによってデザインされたTouch IDです。AppleのTouch IDモバイル認証システムはECサイトの支払いをより効率的にする可能性をもつ非常に良い例ですが、一部の人は潜在的なセキュリティの欠陥を心配しています。

Touch IDはどのように機能するのか?

Touch IDは端末ユーザーに登録済みの指紋に反応します。端末は指紋がユーザー本人のものだと確認したのちロックを解除します。プロンプト表示後、ユーザーは端末のホームボタンをタップするだけでアプリ、本や音楽の購入できるようになります。

iPhone6もしくは6sでTouch IDを有効化した人は、Apple Payと連携したアプリで買い物する技術を利用できます。Appleの前CEOであるSteve Jobs氏はクレジットカードをスワイプして暗証番号を入力する伝統的な支払いのシステムを嫌っていたといいます。Touch IDは支払いプロセスからそれらのステップを削除し、ついには購入を確認するボタンを押す必要すらなくしました。

Touch IDは購入を簡単にするのか?

Appleは、ユーザーに支払い方法のひとつとして、Touch IDをリリースした最初の会社でした。最近では、多くのブランド企業がこの技術は将来の支払い方法になるだろうと認識し、買い物にTouch IDを利用可能にするように取り組んでいます。

ただし、Appleはこのような指紋認証技術を実装したスマートフォンを世の中に送り出した最初の会社ではないと覚えておくことは重要です。多くの人々がiOS端末を利用していますが、ほとんどの人にとってTouch IDはこのような種類のセキュリティ対策に直面する最初の機会になるでしょう。

支払いまでの時間を短縮する

では、どうしてTouch IDは買い物客にとって素晴らしいものだと喧伝されているのでしょうか。Touch IDが、欲しい物の購入を面倒なく簡単にものにすると支持者が考えている理由は確かに理解できます。買い物客の一部は買い物のプロセスにうんざりするあまり、「あとで」購入すると決めますが、実際にそのために戻っては来ません。Appleの指紋認証技術を利用することで、人々は暗証番号なしに買い物ができます。それにより、製品を選んでから支払いをするまでの時間を短縮できます。

導入事例が増えるTouch ID

2015年の3月初旬、靴と洋服を扱う人気のオンラインストアであるZapposは、Touch IDに対応するためにアプリをアップグレードしました。それ以降、買い物客は暗証番号を入力することなくアプリ経由で支払いできるようになりました。コネチカット州を拠点とするリッチで品のあるネクタイやその他のアパレル製品を販売するブランドVineyard Vinesは、2015年の休暇の買い物シーズンに同様の対応を行いました。

顧客に自社の専用テレビチャンネルでの商品プレゼンを見てから商品購入を勧めることでよく知られるQVCでさえTouch IDを採用しました。QVCはテレビという媒体のおかげで有名になったので、一見関係ないように思われがちですが、世界中の購入者の中でもモバイルユーザーが急激に伸びているQVCこそ、この新技術の導入が必要でした。ですが、この対応はQVCが伸びているモバイルユーザーに対してとっている一つの施策に過ぎないと主張しています。

ECサイト以外でのTouch ID

Touch IDはECサイトで使われることが多いですが、より高度なセキュリティが要求される業務にTouch IDを利用しているアプリや会社があります。たとえば、文書のスキャンやデジタル署名をするアプリなどです。

銀行での利用例

ある銀行はTouch IDの利用を開始しましたが、その利用方法はこれまでに紹介したものとは異なり、ユーザーに指紋認証だけでなく、声紋などの個人認証も要求します。この新しい認証方法により、HSBC銀行を利用するイギリスの1500万人の顧客は暗証番号入力やセキュリティ用の質問に答える必要がなくなりました。レポートによれば音声認識システムは人間の声を構成する100以上の要素をチェックしており、そのユーザーが病気のときでさえ機能します。

Touch IDはセキュリティリスクとなるか?

新しいテクノロジーに伴って、一部の人はTouch IDに関してセキュリティ上の懸念を持ち、想定される欠陥の脅威を減らす方法がないか考えています。Touch IDが抱える主なリスクは、写真や子供用の粘土などさまざまな方法で指紋が複製される可能性があるとアナリストが言及している事実に基づいています。

一つの端末に権限を持つ複数のユーザー間でアクセスを制限することも困難です。これは、Touch IDを有効にした複数の端末が職場で配布され、一人一端末では足りない場合に問題になりうることです。たとえば端末での購入責任を特定の人物が背負うようにしないと、その端末経由での購入を追跡することは不可能になるかもしれません。

この問題に対するもう一つの対策は、Appleの端末設定で複数の指紋を保存するのと同じように、ログインする際の暗証番号を複数のユーザーそれぞれに与えることです。この解決法は役に立つでしょうが、聡明な方法ではありません。

指紋を写し取られることへの対策

セキュリティリスクを最小限にするほかの方法もあります。特に指紋の流出に関連した素晴らしい方法があります。実験においての、ハッカーはガラス表面に残った指紋を利用してTouch IDをあざむきました。しかし、この場合、人指し指の指紋が常に利用されました。

このことに留意して、端末のロックを解除する際には小指か薬指を利用するようにすることがベターです。これらの指の指紋は、テーブルの表面や飲み物の入れ物といった一般的なガラス用具から盗み取ることが難しいものです。

粘土で指紋を複製されることへの対策

子供用の粘土はどのようにTouch IDのセキュリティの欠陥を突くのでしょうか? 専門家は粘土がスマートフォンにとって深刻な脅威になる心配は不要であると言います。たしかに、研究員はTouch IDを指紋を写した粘土で反応させることができましたが、これには指先を粘土に5分間押しつけて指紋を写す必要がありました。

技術専門家はアクセス許可と購入には、指紋と声紋を用いた二段階認証を推奨しています。とにかく個人情報を安全に保ちたい場合、ほかの認証方法とあわせて指紋認証の利用を提案しています。HSBC銀行の声紋認証以外にも、顔認証はTouch IDをスムーズかつ安全に補完する認証方法となりうるかもしれません。

結論

Touch IDをハッキングすることは簡単ではありません。Marc Rogers氏が言うように、ハッキングには技術、学術的研究、犯罪捜査員のような忍耐が必要となります。これは、システムがハッキングされる可能性がないということではありません。

これらを心に留めて、ユーザーと開発者はコストと利益の2つを天秤にかけるべきです。また、Touch IDに侵入できるくらいハッキング技術が高度化する可能性もあるので、新たなセキュリテイ上の脅威にも注意する必要があります。


イベント

2017/12/05(火)
Design Thinking Square