2016年 秋期 応用情報技術者試験 問1

生体認証システムの導入

S社は、個人投資家を対象とした、従業員約200人の証券会社である。事務所では従業員に一人1台のPCが割り当てられている。社内ではデジタル証明書による認証は利用しておらず、全ての業務システムは従業員ID（以下、IDという）とパスワードでログインできるようになっている。S社では、システム管理者がIDを一括管理できるようにするために、ID管理システムを導入している。ID管理システムは、氏名などの個人情報とIDを関連付けており、認証サーバとしての役割も兼ねている。

業務システムには、出張手配や勤怠管理を行う業務システム、顧客との取引情報を管理する顧客管理システムなどがある。個別の顧客との取引情報は、その顧客を担当している従業員と直属の上司だけが閲覧することを許されている。

[セキュリティインシデントの発生]

ある従業員が担当している顧客の取引情報を、別の従業員が不正に入手して利用するというセキュリティインシデントが発生した。調査の結果、IDとパスワードの不適切な管理によって、IDとパスワードを不正利用されてしまったことが分かった。

この事態を重く見たS社は、業務システムへの不正アクセスを防ぐために、セキュリティの強化を図ることにした。

[不正アクセス予防策の実施]

S社では、IDとパスワードのクラッキングや業務システムへの不正アクセスの対策として、予想される不正アクセスに対応する予防策を実施した。予防策は、実施されたことが確実に確認できるものに限定した。その抜粋を表1に示す。

対策を導入してから6か月経過した時点でセキュリティ監査を実施し、次の問題を確認した。

・パスワードを書いたメモ用紙をディスプレイに貼っている従業員がいる。 ・パスワードを忘れた従業員に対する、システム管理者によるパスワード再発行業務の負荷が高まっている。

[生体認証システムの導入]

S社では、業務システムへの不正アクセスを防止するために、IDとパスワードによる認証以外の手段を用いた、新たな認証システムの導入を検討することにした。総務部では、新たな認証システムの導入に当たって、認証に必要な情報をシステム管理者側で一括管理できることと、導入コストが安価であることを基本方針とした。

導入担当となった総務部システム課のT君は、新たな認証システムの方式として、ICカード方式と生体認証方式を検討した。

基本方針に基づきT君が検討した認証方式を表2に示す。

T君は、導入コスト、新たな認証システムの運用に掛かる業務負荷の軽減、及びセキュリティ強化の契機となったセキュリティインシデントへの対応の観点から、指紋認証方式を採用することにした。

この方式の採用に当たり、氏名などの個人情報と指紋情報が同時に漏えいしないように、個人情報と指紋情報を物理的に分けた上で、一括管理を行う方針とする。

[導入製品の決定]

指紋認証には、次の2種類の方式がある。

・マニューシャ方式 皮膚が線状に隆起した隆線の分岐や終端部分の位置・種類・方向などの指紋特徴点（マニューシャ）を登録する。指紋特徴点だけでは元の指紋全体を再現できない。

・パターンマッチング方式 指紋全体をスキャンしてデータ化し、パターンマッチングする。

T君は、他社における指紋認証システム導入の事例を調査した。その結果、登録された指紋情報が漏えいすることや、他の目的で利用されることへの従業員の不安が大きいことが分かった。

T君は、万が一指紋情報が漏えいした場合でも実害が少ないと考えて、マニューシャ方式を採用している製品を調査して、導入コストがほぼ同じ製品について比較検討した。その比較結果を表3に示す。

T君は、認証に必要な情報を一括管理するために、指紋情報がPC内に格納される製品を除外した。残った製品からdという理由とeという理由で、製品名fの製品を選択し、上司に報告した。