生体認証にパラダイムシフトをもたらした日立の「PBI」技術がすごい理由

世の中のDX(デジタル・トランスフォーメーション)が加速し、非対面での生活が新たな常識になりつつある昨今においては、情報の安全・安心を担保するための暗号や認証、改ざん検知の仕組み等が不可欠になります。特に2020年のCOVID-19パンデミックをきっかけに、情報セキュリティの観点でこの領域を改めて意識した事業者は多いことでしょう。

そのような時流で、利便性とセキュリティの両立ができる認証基盤として、日立製作所の「公開型生体認証基盤 Public Biometric Infrastructure(PBI)」と呼ばれる技術が注目を集めています。

同社では早い段階から生体認証技術の研究開発を進めており、プライバシーの保護と高度なセキュリティを実現するプラットフォームサービスを展開して、国内外の様々な事業者とのビジネス展開や実証実験を進めています。

PBIとはどのような技術で、どんな未来を見通して社会実装を進めているのか。PBIチームとして活動する2名の技術者に、神奈川県横浜市にある「日立オープンラボ横浜(※)」にてお話を伺いました。
※日立の最新技術を活用し 顧客協創のプロセスの一部であるプロトタイピング(試作)・価値検証を顧客やパートナーとともに行い、オープンイノベーションを実現するためのラボ

日立製作所経験者採用実施中!

サイバーセキュリティシステムの研究・開発
募集職種詳細はこちら

プロフィール

井上 健(いのうえ たけし)
株式会社日立製作所
マネージドサービス事業部 セキュリティサービス本部 認証ソリューション部 統括主任技師
2005年、日立製作所入社。以来一貫して、オンライン上におけるヒトやモノの安全な認証の確立をテーマとした事業展開に携わっている。2012年より指静脈認証製品の設計開発や拡販に従事。現在は、PBIを活用したソリューションの国内外での事業展開に取り組んでいる。

 

加賀 陽介(かが ようすけ)
株式会社日立製作所
研究開発グループ デジタルサービス研究統括本部 サービスシステムイノベーションセンタ セキュリティ・トラスト研究部 主任研究員
2008年、日立製作所入社。大学では画像処理関連の研究室におり、その知識を活かす形で入社後は生体認証チームに配属。その後、金融機関や電力会社等向けのシステム開発を経て、PBIに関する技術研究に従事。現在は、PBIを広めていくための精度の向上や汎用化に取り組んでいる。

 

手ぶらで安心・安全な社会認証基盤の実現をめざす「PBI」

――まずは「PBI(Public Biometric Infrastructure)」の概要について、教えてください。

井上 : PBIは、生体情報を復元不可能な形にデータ変換し、「公開鍵」として安全に利用することでプライバシーの保護と高度なセキュリティを実現する、日立が開発した認証基盤技術です。
技術としては10年以上前から研究されてきたものなのですが、サービスとしては2020年10月にSaaS型の「生体認証統合基盤サービス」として提供を開始しました。「一度の登録でサイバーとフィジカルの境界なくサービスを享受できる、手ぶらで安心・安全な社会認証基盤の実現」をコンセプトに提供しているサービスです。

――コンセプトが「手ぶらで」ということで、現状はどこまでが手ぶらで実現できているものなのでしょうか?

井上 : 実際に使用されている例としては、お店での決済があります。生体情報とクレジットカードを紐付けてユーザー登録することで、財布やスマートフォンを所持することなく、指をかざすだけで本人認証から決済までシームレスに行うことができます。

――なるほど。今のは決済の例ですが、そうでないシーンでも活用できる、ということでしょうか?

井上 : そうですね。基盤として特定の利用シーンに特化したものではないので、決済以外でも、ホテルやスポーツジム、ゴルフ場といった会員施設内での受付から、スポーツ・コンサートなどのイベント会場、アミューズメント施設などでの入退管理、あるいはワクチン接種証明などでも活用できます。様々なユースケースの引き合いがあり、お客さまやパートナーと実証実験を進めているところです。

検証時の「ゆらぎ」を加味して本人か否かを判定できるアルゴリズム

――どのような経緯で、このPBIが開発されることになったのでしょうか?

加賀: 指紋認証や顔認証といった生体認証自体は1960年代から活用がはじまりましたが、例えば犯罪捜査や入国審査のような公共系の用途が多く、限定的なシーンで使われていました。2010年代に入るとスマートフォンに指紋センサーが搭載され一般の方でも利用するケースが増えてきましたが、指や顔をパッと提示するだけで手ぶらで買い物ができるような便利な世界は、まだまだ実現できているとは言えません。
このような世界を実現するにあたっての課題はいくつかあるのですが、その中でも大きいのが個人情報管理の問題です。

――特にここ数年、個人情報の取り扱いは重要度を増していますよね。

加賀: 特に指紋や顔、静脈といった生体情報は生涯変えることのできない機微な個人情報でして、一度漏洩すると生涯安全性を回復することができません。どこでも手ぶらで認証できるようにするためには、サーバーで膨大な生体情報を管理することが必要になるのですが、もしもそれでセキュリティ事故や情報漏洩事件が発生したら大変なことになります。そのリスクテイクができないからこそ、これまではなかなか普及しなかったとも言えます。

そこで我々が開発したのが「PBI」となります。これは、人の生体認証などのデータを元に戻せない形で「一方向性変換」して、公開鍵を作成し、それをサーバーに登録するというものです。これにより、万が一サーバーから情報が漏れたとしても、もとの生体情報やユーザーの特徴に関する情報は復元される恐れがないので、安全な生体認証システムを実現できることになります。
このような、暗号学的に裏付けされた高度な安全性が担保されることで、手ぶらで便利な生体認証が社会実装できるようになると考えています。

PKI(Public Key Infrastructure:公開鍵認証基盤)における「秘密鍵」の保存・管理が不要であり、また生体情報の保存・管理も不要なので、プライバシーを高度に保護しながら、生体情報に基づくより確実な本人確認と公開鍵認証の安全性を実現できるようになっている

――この辺りのお話は、それこそ情報セキュリティの領域や、最近ですとブロックチェーンのような技術領域でよく耳にするのですが、どのような技術的ブレイクスルーがPBIを実現可能にしたのですか?

加賀: 生体情報は非常にアナログなデータで、与えられるデータが毎回少しずつ異なり、「ゆらぎ」が存在します。例えば顔でしたら向いている方向や表情によって画像が変わりますし、指紋も取得する度にかすれなどのゆらぎが発生します。その誤差が一定範囲であれば本人、一定範囲を超えれば他人、という判定をしなければいけません。

古典的な公開鍵認証のアルゴリズムでは、1ビットも違わない鍵が得られたら本人だが、逆に1ビットでも違ったら他人だと判定することはできました。しかし、誤差が一定範囲であるときに本人である、という判定を実現するのが非常に難しかったわけです。

これに対してPBIでは、ゆらぎを含む生体情報からゆらぎのない安定した鍵を抽出することで、生体情報に一定の誤差を許容して本人かどうかを判定できる公開鍵認証アルゴリズムを作りました。

ゆらぎをきちんと吸収して「この範囲だったら検証に成功する」というものを作れた点が、世界の誰もが実現したことのない独自の技術でありブレイクスルーだったと言えます。現在のPBIの技術的な原型ができたのは、2012年頃だったと記憶しています。

最大100万人までを数秒で特定できる技術的ブレイクスルー

――今でこそ顔認証や指紋認証といったソリューションは様々な企業が提供している印象ですが、その中でPBIがもつ技術的な特色は何になるのでしょう?

加賀: PBIを使わない従来の生体認証でも、もちろん生体情報をサーバーに格納する際には暗号化を施して安全な管理をすることになりますが、実際に本人かどうかを照合する際には、一時的に生体情報に戻して類似度を計算する必要があります。つまり、指紋や顔、静脈の特徴量を元に戻すことになります。よって、暗号化した情報とそれを解くための鍵を両方ともサーバーにもつ必要があり、万が一それらが漏洩してしまうと、攻撃者が生体情報を復元できてしまうリスクがあるわけです。
これに対してPBIは、サーバーの情報が全て抜かれたとしても一方向性変換によって復元できないことになるので、そこが大きな差別化ポイントだと言えるでしょう。

認証情報の登録時においては、生体情報を復元不可能な形に一方向性変換して鍵ペアを生成し、公開鍵とPBIテンプレートを認証情報として登録する。また本人認証時においては、再び生体情報を「一方向性変換」して秘密鍵を再生成することで、電子署名が可能になる。このように認証のたびに秘密鍵を作成するため、秘密鍵の管理が不要となる

――PBIの開発を進める中で、どのような壁があったのでしょうか?

加賀: 先に大前提をお話ししますと、PBIは先ほどお伝えしたコア技術が完成したらそれで終わりではなく、様々な技術を結集させて安全性、精度、速度を向上させています。

具体的には、画像処理や機械学習をベースとする生体認証という学問分野と数学をベースとする暗号という学問分野の大きく2つを組み合わせていて、PBI開発チームには両領域の研究者がいることになります。先ほどお伝えしたような、アナログなデータに基づき公開鍵認証を行う技術は暗号側の研究者が作ったもので、その上で精度や速度を高めるというのは生体認証側の研究者の役割になります。PBIの研究開発は、このような複数の学問分野の両輪で開発を進めていることになります。

――加賀さんはどちらの領域が専門になるのですか?

加賀: 私は、画像処理や機械学習などをベースとする生体認証寄りの研究者になりますので、その立場からお話しさせていただきます。
まず、生体認証には「1:1認証」と「1:N認証」というものがあります。1:1認証というのは、事前にIDやカード等を使って「私は加賀です」と名乗った上で、生体情報に基づき「本当に加賀か否か」を検証するという認証方式になります。一方で1:N認証というのは、名乗らずに、生体情報のみからそれが誰なのかを当てるという認証方式になります。
例えば1万人が登録されていたら、1:N認証の場合は1万人それぞれの登録データと照合して誰かを当てる必要があります。

――人数が増えるほどに時間がかかりますね。

加賀: そうなんです。時間はもちろん、人数が増えるにつれて精度も下がってしまうという問題があります。
それに対して私が研究したのが、ディープラーニング技術を使って静脈などの画像を非常にコンパクトなハッシュと呼ばれる特徴量に圧縮し、小さなデータで表現して高速な照合を実現するという技術です。一般的にはデータを小さくすればするほど精度も下がるのですが、精度を極力下げずに「画像が似ていたらハッシュ値も似るし、画像が離れていたらハッシュ値も離れるという類似性を維持したままに小さいデータを作る」という技術を開発しました。

そうすると、非常に高速に登録情報を照合して本人を絞り込むことができるので、1:N認証の規模を広げることができるようになります。元々のPBIの仕組みでは、基本的には1:1認証で個人を特定した上で本人かどうかを検証するというやり方を使っていたのですが、こういった技術を取り入れることで、最大100万人までを数秒で特定できるようになりました。

決済からデジタルヘルス証明まで、多様な切り口で進む実証の取り組み

――ここまで技術的な特徴などについて伺いましたが、PBIを実装した生体認証統合基盤サービスを使うことによるメリットは、どんなことが考えられるのでしょうか?

井上 : エンドユーザー視点では、カードやスマートフォンを提示することなく、手ぶらでも本人確認などが行えるという利便性が挙げられます。またサービス提供者視点では、先ほどお伝えしたような高精度で高速な認証を活用したオペレーションが行えるということや、なりすましの防止、一方向性変換による安全性の高いデータ保管、それに付随して顧客の情報を安全・安心に管理していることのPR、といったことが考えられます。

――やはり事業者としては、個人情報の管理を気にされる方が多いということですね?

井上 : 昨今ではGDPR(General Data Protection Regulation:EU一般データ保護規則)に代表されるように規制強化が進んでいるので、個人情報を安全に保護することに関する事業者サイドの意識が高まってきています。また、利用者サイドでも、個人情報が意図しない形でサービス事業者に利用されることへの問題意識が少しずつ高まっているなと思います。

――具体的な事例についても教えていただきたいのですが、例えば冒頭におっしゃっていた決済領域での導入事例としてはいかがでしょうか?

井上 : 例えば2019年12月から2020年3月の期間で実施したユーシーカード株式会社さまとの取り組みでは、指静脈認証による安全な「手ぶらでのキャッシュレス決済」の実証実験を行いました。

具体的には、両社の社員数百名のクレジットカード番号と指静脈情報を紐付ける形でユーザー登録をして、その上でユーシーカード加盟店である飲食店などで指静脈認証のみによる決済を行いました。
店舗側で新たなシステムを構築する必要はなく、タブレット端末と指静脈認証装置を設置するだけで実施できたので、今後の本格的なサービス展開に向けて進めていきたい取り組みの1つです。

――まさに、冒頭におっしゃっていた「手ぶら」社会に向けた取り組みですね。

井上 : この他にもタイムリーな話題としては、ワクチンパスポート(新型コロナワクチン接種証明書)や陰性証明書のデジタル表示といった「デジタルヘルス証明」領域についても、複数社(※)との共同実証を進めています。
※鹿島建設株式会社、株式会社日立製作所、H.U.グループホールディングス株式会社、国立大学法人九州大学、株式会社電通

井上 : 具体的には、対象の従業員が専用アプリをダウンロードして検査予約やワクチン接種履歴の登録を行います。陰性証明は、医師が遠隔で行う事前問診と検査結果をもとに総合的に判定し、アプリに判定結果を通知することで、デジタルヘルス証明として発行されます。

また、生体情報を事前登録し、デジタルヘルス証明と連携します。これにより生体認証だけで本人確認とデジタルヘルス証明書の提示が一度に行えるので、手ぶらでオフィス入館が可能となります。紙やスマートフォンによる本人確認や証明書の提示は不要となります。

自己主権型アイデンティティを見据えて

加賀: ちなみに、今お伝えしたデジタルヘルス証明に関する共同実証では、本人の認証だけではなく、「この人はワクチンを打っている」といった「属性の証明」を行う基盤としての使い方という観点でも、ユニークな事例になっています。

――詳しく教えてください。

加賀: 少し違う角度からのご説明になりますが、生体認証はもともと「今ここにいる人は誰か」ということを判定する認証の機能だけを有していたのですが、PBIは生体情報から暗号鍵を生成することで、暗号化や電子署名を行うことができます。

つまり、「今ここにいる人は誰か」を当てるだけではなく、生体情報を暗号鍵として使って「この人しか元に戻せない暗号文を作る」「この人しか打てない署名を作る」ということもできるようになります。
暗号の世界では暗号や電子署名は昔からあるものなのですが、それを指紋や顔画像などのアナログなものを使って実現するという技術が、PBIの新しいところとなります。

――要するに「身体が鍵になる」ということですね。

加賀: そうです。この応用の1つとして「属性の証明」を考えていまして、データを暗号化したり元に戻したり、といったことも生体を使ってできるようになります。ワクチンパスポートや陰性証明書といった証明書のデータをサーバーに格納する場合、PBIを使うとそれらも安全な形で、かつ自分の生体を鍵として管理することができるので、例えば必要な部分だけを復号して開示するといった新しい使い方もできるようになると考えています。

井上 : めざすコンセプトとしては「自己主権型アイデンティティ(Self-sovereign identity)」ですよね。プラットフォーマーに属性情報を集中管理されるのではなく、それらを自分でコントロールできるようになる、ということです。

――なるほど、面白いですね。国内を中心に、多様な切り口での実証が進んでいるわけですね。

井上 : ここまでは国内の事例を中心にお伝えしましたが、海外での計画もすでに動き出していますよ。
例えば2020年9月には、三菱商事株式会社さまとトルコのアクティフバンクさま(Aktif Bank)と共同で、トルコにおける生体認証サービスプラットフォームの事業化を目的とした実証・事業性調査をスタートさせました。

アクティフバンクさまは、日立が戦略的パートナーシップを構築しているチャルックホールディングさま(Calik Holding)というトルコ有数の財閥傘下の中核企業で、金融サービスに留まらないデジタルプラットフォーム事業を展開しています。この戦略的パートナーシップでは、決済や流通といった分野でのコラボレーションを期待しています。

他社と協力して新しい市場を作っていきたい

――グローバルな展開も見据えているということで、昨今のニュースやステークホルダーの動きで、何か気になることなどはありますでしょうか?

井上 : 先ほどお伝えした自己主権型アイデンティティに結びつくような、欧米を中心としたニュースは気になりますね。
また周囲の反応という観点ですと、一昔前はPBIの説明をすると、「オリジナルの生体情報に戻せない」ということをデメリットに感じる人が多い印象でした。利用者のデータをなるべく多く収集して、それを利用することで価値を出すというのが流行っていたタイミングだったからかもしれません。

――使える情報は使えるだけビジネスで活用しよう、という感じですね。

井上 : それを今やったら「何を勝手に利用してるんだ」ってなりますよね。そういう意味でも、世の中のリテラシーと言いますか、個人情報への感度の高まりに対応していくことは非常に大切だと感じています。

加賀: 技術的な目線でも、生体認証が普及し始めた頃は「精度が何%向上した」とか「速度がどれくらい上がった」とか、細かいスペックに注目が集まっていました。そこから技術的に成熟していって、最近では今お話があったような個人情報の取り扱いへと関心がシフトしてきているわけです。そこは大きな変化だなと感じますね。

――なるほど。このPBIというプラットフォームを通じて、中長期的にはどのような取り組みをされていく予定でしょうか?

加賀: まずはマルチモーダル化ですね。現状は弊社が長年取り組んできた指静脈の事例が多いのですが、今後は顔認証や虹彩認証といった他の手法にも適用していきたいと考えています。
そのためには、画像処理や機械学習を活用してPBIにおける認証精度を高めていく必要があるため、引き続き研究を進めて行きたいと考えています。

井上 : 冒頭から「手ぶら」を強調してきたものの、スマートフォンが完全になくなることはないと考えています。なので、PBIによる手ぶらも「1つの選択肢」として、ケースバイケースで使い分けられるようになることが、理想的な社会像なのかなと考えています。

――社会的なインフラにするとなると、日立さん1社だけではなかなか実現が難しい気もするのですが、その辺りはいかがでしょうか?

加賀: もちろん、世の中には様々なベンダーさんがいて、日立とは違う領域に強みを持つところもたくさんあります。PBIは、そういった複数のモダリティを束ねる基盤なので、複数の企業との協業は十分に考えられると思います。

井上 : 今お話があったとおり、1社でできるものではないと思っています。この技術を活かして、生体認証がより安全・便利に生活の中で使えるように、他社と協力して新しい市場を作っていきたいです。
開発面でもビジネス面でも他社との協業は今後も拡大していきたいと考えています。

好奇心をもって、新しいことを考えて、手を動かして形にできる人には最適な環境

――最後に、日立という技術研究・開発フィールドについても伺いたいのですが、おふたりが気に入っている日立のポイントを教えてください。

井上 : 先ほどのトルコの話もそうですが、日立はグローバルも含めて非常に大きな会社です。長年事業をご一緒してきたお客さまやパートナーがたくさんいるので、国内外含めて携わった技術を使っていただける点は大きな魅力だと感じています。

加賀: あとはそれに付随して、社内には多種多様な専門家がいるので、簡単に声をかけることができるのもいいですね。IT技術は、それこそ様々なものを組み合わせることで大きな成果につながると考えているので、コラボがしやすい環境はありがたいなと感じます。

――今後、日立で実現したいこととしてはいかがでしょう?

加賀: 今の研究と並行して、後続世代の育成ですね。後輩が入社して、PBIチームもだんだん仲間が増えてきた状況なので、継続的に世界最先端の研究人財を輩出する組織にしていきたいと思います。

井上 : 引き続き、PBIを推進していきたいです。あとは、これも加賀さんと一緒なのですが、世界に通用するプラットフォームや事業を作る上で、世界に羽ばたいていけるような人財が集まる組織にしたいなと思っています。

――そのためには、どんな人と一緒に働きたいですか?

加賀: 好奇心をもって、新しいことを考えて、手を動かして形にできる人ですね。全く違う使い方とかを一緒に考えていけると、チームも活性化すると思います。

井上 : 「自分は〜屋だから」と範囲を狭めず、「世の中を良くするためには」という意味でオープンな姿勢の方がいると嬉しいです。

――ありがとうございます。それでは最後に、読者の皆さまに一言ずつメッセージをお願いします!

井上 : 日立という会社は、外から見ると堅実、悪く言えば堅いと思われることもあるのですが、実際は技術者のやりたいテーマが通りやすい環境だと感じています。幹部メンバーを説得したらやりたいことが通ることも多々あるので、上から言われたことを自分の裁量でこなすよりも、「何かのテーマで一旗上げたい」という人に適していると思います。

加賀: 今の話に関連して、実際に研究の内容を見ていると、若手メンバーが立ち上げたものも結構あります。しっかりとロジックが通っていれば、挑戦できる機会がある組織だと思います。既存の慣習を壊してでもやりたい、という気概がある方にぜひ来ていただきたいと思います。

編集後記

日々のニュースを見ていると、定期的に情報漏洩のニュースが目に入ってきて、自分の情報をどのように管理するべきかが特に強く問われる時代になってきたと感じます。今回のPBIを基調とする生体認証統合基盤サービスのような、安全・安心に向けた仕様を突き詰めているサービスもあれば、そうでないものもあるでしょうから、「その事業者はどんな想いと未来像を描き、また具体的にどのような技術を活用して、自分の情報を取り扱っているのか」を理解することは、これから先の自己主権型アイデンティティ時代では重要な姿勢だと、そんなことを感じながらお話を伺っていました。

取材/文:長岡武司
撮影:平舘平


「Qiita×HITACHI」AI/データ×社会課題解決 コラボレーションサイト公開中!

「Qiita×HITACHI」AI/データ×社会課題解決 コラボレーションサイト公開中!
日立製作所の最新技術情報や取り組み事例などを紹介しています
コラボレーションサイトへ

日立製作所経験者採用実施中!

サイバーセキュリティシステムの研究・開発
募集職種詳細はこちら

日立製作所の人とキャリアに関するコンテンツを発信中!

デジタルで社会の課題を解決する日立製作所の人とキャリアを知ることができます
Hitachi’s Digital Careersはこちら

  1. 競技プログラミングの経験が、いつのまにかくらしをより良くする家電IoT開発に役立っていた!?
  2. HRシステム「COMPANY® 」開発チームが真剣に雑談する「WHIならではの仕事の楽しみ方」とは?