ITパスポート 令和5年度 問99：securityに関する問題

答えは c です。

バイオメトリクス認証とは「体の特徴で本人確認する」こと。指紋や顔、声などですね。cの「署名するときの筆跡や筆圧（書くときのクセ・力の入れ方）で本人と確かめる」も、その人ならではの体の動きの特徴なのでバイオメトリクスです。

👉 覚え方：バイオ＝生き物・体。「体や動きのクセで本人を見分ける」のがバイオメトリクス。

ほかの選択肢：a 歪んだ文字を読ませる（CAPTCHA＝人間かどうか判定）／b パスワード入力／d 秘密の質問。これらは“知っていること”で確認する方法で、体の特徴ではありません。

なぜこれが正解か

正解は c。バイオメトリクス認証（生体認証）は、身体的特徴や行動的特徴で本人を識別する方式。cの「署名時の筆跡・筆圧など動作の特徴を読み取る」は行動的特徴を用いた生体認証（署名認証）に当たる。

各選択肢の解説

• a：歪んだ文字列を判読・入力させるのはCAPTCHAで、人間か機械かを判定する仕組み（本人認証ではない）。
• b：ソフトウェアキーボードからのパスワード入力は知識認証。
• d：秘密の質問は本人しか知らない知識を使う知識認証。

覚え方・ひっかけ注意

認証の3要素は「知識（知っていること：パスワード・秘密の質問）／所持（持っているもの：ICカード・トークン）／生体（本人自身：指紋・顔・声・筆跡）」。生体には“体の特徴（指紋・虹彩・静脈）”と“動作の特徴（署名・声・歩き方）”があり、cは後者。CAPTCHAは認証要素ではないひっかけ。

理論的背景

バイオメトリクス認証（生体認証）は「あなた自身が何者であるか（Something you are）」という本人固有の生体的特徴を認証の基盤とする技術である。認証要素の3分類は「知識認証（Something you know：パスワード・PIN・秘密の質問）」「所有物認証（Something you have：ICカード・OTP・スマートフォン）」「生体認証（Something you are：指紋・顔・虹彩・静脈・音声等）」であり、2要素認証（2FA）・多要素認証（MFA）はこれら異なるカテゴリを組み合わせる。本問の選択肢cの「署名の筆跡や筆圧・速度などの動作特徴」は行動バイオメトリクス（behavioral biometrics）の一種であり、静的な物理的特徴（指紋・顔・虹彩等の形態バイオメトリクス）と対比される。行動バイオメトリクスには署名の他にもキーストローク動態（タイピングリズム・押圧）・歩行動態・マウス操作パターン等があり、「本人のなりすましは形状は模倣できても動作の癖まで再現できない」という特性が認証根拠となる。バイオメトリクス認証のシステム精度指標としてFAR（False Acceptance Rate：他人を誤って受け入れる率）とFRR（False Rejection Rate：本人を誤って拒否する率）が使われ、セキュリティ要件に応じてこのトレードオフを調整する。

実務での使われ方

スマートフォンの普及によりバイオメトリクス認証は一般ユーザーにも浸透している。Apple FaceID（顔認証：3D構造光センサとIR照射による奥行き計測）・Touch ID（指紋認証）・Android指紋・顔認証がその代表例である。企業向けではFIDO2規格（Fast IDentity Online）がパスワードレス認証の国際標準として普及しており、WebAuthn API（ブラウザ組み込み）とFIDOデバイス（生体認証対応セキュリティキー・スマートフォン）を組み合わせてパスワードなしの強固な認証を実現する。生体情報の管理において重要な原則は「テンプレート保護（生体情報の生データではなく変換済み特徴量を保存・照合する）」「ローカル処理（生体情報をデバイス外に送らない）」「取り消し可能性（漏えい時の対処）」であり、EUのGDPR（一般データ保護規則）では生体データを「センシティブデータ（特別カテゴリの個人データ）」として特別な保護義務を課している。

試験での位置づけ

バイオメトリクス認証はITパスポートの情報セキュリティ・個人認証分野で出題頻度が高い。本問のように「CAPTCHAの画像認証（選択肢a：ボットではなく人間であることを証明）」「パスワード認証（選択肢b）」「バイオメトリクス（選択肢c：身体・行動の特徴）」「秘密の質問（選択肢d：知識認証）」という4種類の認証方式を並べて識別させる設問形式が典型的である。選択肢dの「秘密の質問」は「知識認証」であり、バイオメトリクスではないことを識別できれば正答への道が開ける。近年の出題トレンドとして、多要素認証（MFA）の組み合わせ、FIDO2/パスキー（Passkey）によるパスワードレス認証の普及、ディープフェイクによる顔認証回避攻撃（liveness detection対策）が新しい論点として加わっている。基本情報技術者ではFAR・FRRのトレードオフ、テンプレート保護技術（キャンセラブルバイオメトリクス）、PAD（Presentation Attack Detection：なりすまし攻撃検知）まで踏み込んで問われる。

選択肢の発展補足

選択肢aのCAPTCHA（Completely Automated Public Turing test to tell Computers and Humans Apart）は人間とボットを識別する「逆チューリングテスト」であり、ゆがんだ文字列の判読・歪んだ画像の識別・reCAPTCHA（Googleが提供、v3ではユーザー操作を行動分析してスコアリング）が代表的な実装である。これは「あなたが人間であること」を確認するメカニズムであり、「あなたが特定の人物であること」を確認するバイオメトリクス認証とは本質的に異なる目的を持つ。選択肢bのソフトウェアキーボードによるパスワード入力は知識認証（Something you know）の典型であり、物理キーボードと異なりキーロガーによる入力傍受対策として使われるが、ショルダーハッキング（肩越しの覗き見）には弱い点が変わらない。選択肢dの「秘密の質問」は知識認証の一形態だが、「最初に飼ったペットの名前」「母親の旧姓」等の質問への答えがSNS・公開情報から推測可能なため、現在のセキュリティ基準ではリカバリーコードや携帯番号への多要素認証への移行が推奨されており、主要なサービスから廃止・非推奨化が進んでいる。