トップ
コラム
特集
安全性とユーザビリティは両立できる。顧客に寄り添うセキュリティ施策を――CapyとBIPROGYが語る生体認証ソリューションがもたらす変革【前編】

安全性とユーザビリティは両立できる。顧客に寄り添うセキュリティ施策を――CapyとBIPROGYが語る生体認証ソリューションがもたらす変革【前編】

2025.03.26
特集

インターネットが社会のインフラとなった現在、サイバーセキュリティの重要性は一段と高まっています。個人情報の流出やサイバー攻撃など多くの脅威がある中、企業としてはどのような対策を講じるべきなのでしょうか。
今回は、生体認証ソリューションでセキュリティの最前線を走るエキスパートの知見を得ることを狙いとすべく、先日協業を開始したCapy株式会社とBIPROGYとの座談会を実施しました。Capy株式会社CISO/開発マネージャー松本悦宜氏、事業開発部パートナーリレーションマネージャー中畑隆幸氏、BIPROGY株式会社インダストリーサービス第一事業部営業二部第二営業所長曽我部知幸の3名に、前編ではサイバーセキュリティを取り巻く状況について伺いました。

後編「FIDO認証により、サービスの特性に合わせたログインを実現。協業で見えてきた可能性とは――CapyとBIPROGYが語る生体認証ソリューションがもたらす変革」はこちら

CapyとBIPROGYの協業は、新しい認証方法を探って生まれた

FIDO認証の普及を支えるキーパーソン

――それぞれ自己紹介をお願いします。

松本悦宜氏（以下、松本）：Capy株式会社の松本です。CISO/開発マネージャーというポジションで、生体認証の仕様設計やプロダクトの安定性チェックなど技術関連の業務に従事しています。キャリアを一貫してサイバーセキュリティに取り組んでおり、Capy入社前は国の委託事業で重要インフラ業者向けにセキュリティのアドバイスをしていました。現在はFIDOアライアンス（生体認証など新しいオンライン認証技術の標準化を目指して2012年に発足した非営利団体）のメンバーにもなっています。

中畑隆幸氏（以下、中畑）：Capy株式会社の中畑です。30歳頃からセキュリティ関連企業に勤務してきました。現在は、事業開発部でパートナーリレーションマネージャーをしています。代理店開拓や一般ユーザー向けのセミナー登壇など、セキュリティ周りのセールスをメインに担当しています。

曽我部知幸（以下、曽我部）：BIPROGY株式会社の曽我部です。大手通販会社などのリテール向けの営業を担当しています。弊社のコーポレートステートメントである「Foresight in sight（洞察力をもって、業界の変化やお客さまのニーズ、これからの社会課題を先んじて想像し把握する）」を大切に、お客様のビジネスに寄り添い思いを感じ取って提案していくスタイルで取り組んでいます。FIDO認証について調べる中でCapyさんに行き着き、この度の協業が始まりました。

不正アクセス対策として注目される3つのソリューション

――Capy様の事業内容についてお聞かせください。

中畑：Webサービスに対する不正アクセスの対策ソリューションを提供しています。「Capy CAPTCHA」は画像を利用したパズルキャプチャによるBot対策です。「Capyリスクベース認証」はBotだけでなく、人間による不正アクセスや攻撃に対応するための検知ソリューションとなっています。さらに、正当なユーザーを特定するための認証サービスとして、「Capyパスキー(Capy FIDO生体認証) 」を提供しています。

サイバーセキュリティを取り巻く状況は、日々刻々と変化する

USBから生体認証まで。攻撃者との攻防を振り返って見えてくるもの

――生体認証が普及してきた背景には、何があるのでしょうか。

松本：セキュリティ対策を振り返ると、10年ほど前に一般的だったUSBトークン認証は大規模展開時のコストと運用が課題でした。その後、スマートフォンの生体認証の普及により、指紋認証や顔認証が広まりました。生体情報を安全に保管する技術が進化し、ウイルスやマルウェアによるデータ漏洩が発生しても、生体情報は保護される仕組みが整備されています。

曽我部：ユーザー側のメリットを重視したサービスだからこそ、生体認証が普及してきたのではないでしょうか。ユーザー側にとって便利なサービスであればどんどん使われていきますし、結果として「このサイトは使いやすい」「安全で信頼できる」といった評価にもつながりますよね。

松本：はい。従来は「安全性の担保と使いやすさはトレードオフ」と言われていました。サイバーセキュリティによる安全性と、利便性への制約を天秤にかけ、どちらかを選択しなければならなかったのです。しかし、生体認証ならセキュリティと利便性をどちらも担保できます。双方が良いバランスで実現できるのが、生体認証の良さだといえるでしょう。

――セキュリティに関する攻防は、どういう変遷を遂げてきたのでしょう。

松本：最初の転換期は「Winny（2002年に開発されたファイル共有ソフト。ウイルスの感染を媒介したことで大きな社会問題となった）」だったのではと、僕は考えています。情報漏洩が問題になり、セキュリティが注目されるようになりました。
2010年代には「標的型攻撃」（水飲み場攻撃）が流行しました。特定のサイトをハッキングしてマルウェアを仕込むもので、大手企業や国が狙われるケースもありました。2015年に起きた、約125万件もの個人情報が流出した日本年金機構の情報漏洩は大きな問題となりました。
その次がランサムウェアですね。コンピュータに感染してデータを暗号化し、その復元と引き換えに身代金を要求する悪質なマルウェアで、現在も多くの企業が狙われるなど社会問題となっています。
政府としても、アクティブサイバーディフェンスを検討しています。例えば、国立研究開発法人情報通信研究機構（NICT）が主導する「NOTICE（National Operation Towards IoT Clean Environment）」では、サイバー攻撃の踏み台にされることが多かったルーターの脆弱性を調査し、危険性がある機器の管理者や利用者に注意喚起をしています。

たった1時間のサイト停止が大きな損失を生む。事業を止めないための考え方とは

――企業が行うセキュリティ対策には、どのような弱点や課題があるのでしょうか。

松本：企業のサイバーセキュリティの本質は「事業を止めないこと」。攻撃を未然に防ぐだけでなく、発生した際の被害を最小限に抑える必要があります。ECサイトを例に取ると、攻撃を受けて停止すれば大きな売上損失につながってしまうため、1秒でも早い復旧が求められます。つまり、サイバーセキュリティにも「レジリエンス」が必要なのです。
そのために大切なのがインシデントレスポンスです。「インシデント」はもともと医療用語ですから、災害医療のように事前に体制を構築し、いざ攻撃された時には優先度を決めて対応にあたらなければならないと考えています。

曽我部：多くの企業ではセキュリティの重要性は理解していても、具体的な対策方法は十分に用意できていないように感じます。また最近の傾向として、実店舗で事業を展開してきた企業がECサイトを立ち上げたり、オウンドメディアを運営したりするケースが増えています。

松本：残念ながらオウンドメディアは特に狙われやすいですね。訪問者の多いサイトにマルウェアを仕込めば、サイトに訪れる多くのユーザーに一度に影響を与えられますから。加えて、決済機能などの事業にとってクリティカルなシステムがないため、セキュリティ対策が緩くなりがちなのも狙われる理由の一つです。

曽我部：攻撃の手段はどんどん巧妙化していくので、情報と打ち手を常に更新することが必要ですね。SIerである弊社はJPCERT/CCのようなセキュリティインシデントの情報機関と契約しているので、セキュリティに関する情報が入手しやすい状況にあります。社内のセキュリティに活用することはもちろん、最新の情報をお客様に提供することも心がけています。
また、お客様のサイトでインシデントが発生した際には当社のCSIRT（Computer Security Incident Response Teamの略。セキュリティインシデントに対応するチームのこと）にご相談いただく場合もあります。