在宅勤務やテレワークが当たり前になり、「物理的な情報漏えい」の危険性が増している。
例えばオフィスの外では、肩越しに画面をのぞかれれば、いとも簡単に情報が洩れてしまう。在宅勤務の場合でも「家庭なら安心」と思いたいが、「子供がふと見た画面を、学校でなんとなく話してしまう」なんてことだって、十分起こり得るだろう。
PC内蔵のWebカメラさえあれば、顔認証のぞき見ブロッカーによってセキュリティを高められる
しかし、そんな問題を「技術で解決する」サービスがあるのをご存じだろうか?
なんと「PC内蔵のWebカメラを使って“PC画面が見える人”を顔認識し、誰かにのぞき見されていたり、そもそも使用者が違ったりする場合にPCをブロックする」というものだ。
字面を読むと、「精度は大丈夫なんだろうか?」「PCのパフォーマンスが大きく低下しそう」「そもそも使い物になるんだろうか?」など、「?」がたくさん出てきそうなサービスだが、実は、サービスを販売するのは、セキュリティの大手企業である株式会社ラックであり、もちろんその実力は折り紙付き。そして、すでに多くの企業で導入されている人気サービスにもなっているという。
そして今回、企業での活用がよりしやすくなるよう、管理機能を強化してバージョンアップした製品が投入された。
ということで、試しにその実力や使い勝手を検証してみることにした。セキュリティの確保が気になるIT企業の担当者はもちろんのこと、Webカメラの新しい使い方として気になる人もぜひ参考にしてほしい。なお、検証したサービスは開発途中のもので実際に提供される機能や画面とは異なる場合がある。
【検証の注目ポイント】
どこまで背後の人を認識できる?
暗い場所でも顔認証は通る?
マスクやサングラスを付けてもOK?
在宅勤務中でも外出先でも気にせず作業、Webカメラでできる対策があった!
「顔認証のぞき見ブロッカー」ウェブサイトより
顔認証のぞき見ブロッカーは、Windows用のクライアントアプリとクラウド型管理システムを組み合わせたセキュリティサービス。一番のポイントとなるのは、PCが内蔵するWebカメラや外部カメラを使って、顔認識による「のぞき見防止」ができることだ。
映像で捉えた人の顔を認識して、それによってWindowsの画面ロックを自動で行なう、独自の汎用セキュリティツールとなっている。
大まかな機能としては、「あらかじめ登録したユーザーの顔を認識している間はロックしない」というものと、「ユーザー以外の顔を認識したときはロックする」の2つがある。さまざまな実行条件を付加できるので、セキュアにしつつ業務の生産性を損なわない動作が可能になっているのだが、それも含めてどんなシチュエーションで使えるのか例を挙げてみよう。
管理画面はウェブブラウザーから利用できる
最初に「監視設定」を確認。デフォルトで用意されている「Default Config」を使えばOKだ
ユーザーを登録し、顔写真を追加する。なお、管理者側では登録するユーザー名の文字列やメールアドレスのドメインをホワイトリスト形式(正規表現可)であらかじめ設定できる
PCにインストールしたアプリから、従業員IDとパスワードでログインし、「ライセンス発行」すれば利用(監視)開始となる
ケース1:他人に画面をのぞかれたらロック
外出先はもちろんのこと、在宅勤務でも家族などにPC画面をのぞき見られる可能性がある。またオフィス内であっても、他部署の人にのぞき見されると都合が良くない場合もあるだろう。
集中して仕事に取り組んでいるときこそ、周囲に気を配ることができないので、のぞき見される危険性は高い。背後からのぞかれているのに気付かずPCを使い続けてしまえば、扱っているデータだけでなく、ログインなどに使っているパスワードまで知られてしまうかもしれない。
しかし、顔認証のぞき見ブロッカーでは、内蔵のWebカメラで常に「そこに誰がいるか・いないか」を監視できる。あらかじめ顔写真を登録したユーザー本人以外が画面をのぞき込んでいると、それを検知してすかさず画面をロックする。どんなに仕事に集中して周りが見えない状態になっていたとしても、機械的にきっちり対処してくれるのだ。
のぞき込んでいる他人を検知(このカメラプレビューは管理画面でオフにすることができる)
複数人がのぞき込んだときも同時に検知して警告表示。この後画面が自動でロックする
ケース2:離席したタイミングで、すかさずロック!
自宅やオフィスでは、「データを盗んだり、悪用したりする人はいないだろう」という思い込みから、なんとなく画面をつけっぱなしにしたまま離席してしまいがちだ。
自宅では画面をつけっぱなしのまま離席してしまうことも多いのでは?
身近に悪意をもつ人がいないことを期待したいが、万一のことを考えるとやはり画面は都度ロックしておくべき。情報漏えいとは言えないにしても、個人的なメールのやり取りなどが他人の目に入ってしまうのは避けたいだろう。ロックしないことで、自宅では子供がPCに触れて思いがけないトラブルにつながる恐れもある。
そうは言っても、離席するたびに画面をロックするのはおっくう……というときに備えて、顔認証のぞき見ブロッカーはWebカメラでユーザーの顔が認識されなくなった時点で、自動でロックする機能を備えている。
一定の間隔でユーザーがPCの前にいるかどうかをチェックしており、離席してPCの前からいなくなると自動でロックする。ユーザーと入れ替わるようにして他人がPCの前に座ったときも検知してくれるので、どんなタイミングでも盗み見られる危険性を防いでくれる。
Webカメラの前から離れると、不在であることを検知し、画面をロックする
あらかじめ登録していない人物がWebカメラの前に現れると、警告表示の後、画面をロックする
ケース3:特定のアプリやファイルにアクセスしたら監視開始
業務内容によっては特定のアプリを使うときだけ監視して、それ以外は監視しなくても問題ない、というセキュリティポリシーにしたいケースもあるかもしれない。そういった用途のために「トリガー監視」という機能も用意している。
「トリガー監視」機能を使うと、特定のユーザーのアクションをきっかけに監視をスタートできる
これは、トリガー、つまりきっかけになるユーザーの動作を検知したときに、監視を始めるというもの。例えばMicrosoft ExcelやPower Pointなど、重要事項が記載されているファイルを扱うことの多いアプリを起動すると、そのタイミングで監視をスタートする、といったことができる。
アプリの実行ファイル名を登録しておくことで、そのアプリの起動のタイミングで監視することができる
アプリ起動だけでなく、特定のフォルダ内にアクセスしたときに監視することもできる。業務に関連するファイルの保管場所を指定しておけば、そのなかのファイルを何らかのアプリで開いたときに、すぐに監視が始まるわけだ。
フォルダ内のファイルにアクセスしたときに監視を開始する設定にもできる
また、指定したIPアドレスがPCに割り当てられた場合に監視を開始する設定も可能だ。例えば自宅ネットワークやモバイルルーターに接続したとき、DHCPでPCに割り当てられるIPアドレス範囲を設定しておくと、ユーザーが自宅にいる間、もしくは外出先で仕事をしているときに、監視を有効にするという使い方ができる。
指定した範囲のIPアドレスがPCに割り当てられた場合に監視する設定にできる
ケース4:外出先では監視、オフィスにいるときは解除で使い分け
反対に、指定した範囲のIPアドレスが割り当てられたときに監視を「しない」ように設定することもできる。こちらもトリガー監視機能と同様の設定方法だ。例を挙げると、オフィスネットワークに接続したときに割り当てられるIPアドレス範囲を設定しておくことで、オフィスに出勤して仕事するときは監視をオフに、それ以外のときは必ず監視する、といったかたちにできる。
指定のIPアドレス範囲に割り当てられたときに監視を「しない」ようにする「監視開始例外」の設定
オフィス内では同僚と同じ画面を見ながら意見を交わしたり、共同作業したりすることがある。そのたびに監視が働いて画面がロックされていては仕事にならない。そうした業務の実情や企業のセキュリティポリシーに合わせた柔軟なセキュリティ対策を実現できる。
ケース5:Webカメラ2台体制で会議も監視もバッチリ
ちなみに、PC内蔵のWebカメラと外部カメラを使った2台体制であれば、画角や画質などの特徴に合わせて、どちらを監視用/ウェブ会議用に使用するか選べるメリットもある。
PC内蔵のWebカメラで監視、外部カメラでウェブ会議という使い分けもできる
Webカメラ2台体制のワークスタイルは、ある程度決まった場所でデスクワークすることが多く、周辺機器を持ち運ばずに済む自宅やオフィスで利用しやすい。ディスプレイに引っ掛けて使うような小型のWebカメラであれば、そこまで大げさな装備でもないので、ノートPCと一緒に持ち運んで外出先で使うことも可能だろう。
USB接続の小型Webカメラなら、ノートPCと一緒に持ち運んでもかさばらない
顔認証のぞき見ブロッカーの使用中は、カメラ機能が監視用のソフトに占有されることから、例えばウェブ会議をしようと思っても映像なしの状態になってしまう場合がある。ところが、2台体制であればそれを解消することができる。
一時的に監視をオフにできるようにする手段もあるが、ウェブ会議中は画面に重要な情報が掲載されたスライド資料が表示されることもあるわけで、できる限りどんな場面であっても背後からの視線を検知したいと思う人(IT管理者)もいるはずだ。そういうときは2台体制での使用をお勧めしたい。
こんな状態でも認識してくれる? さまざまなシチュエーションで精度を検証してみた
汎用的なWebカメラで顔認識する仕組みということで、気になるのはその精度。PCの使い方はそれこそ人や業務内容によって異なり、さまざまな条件下でも問題なく動作するかどうかは重要なポイントだ。
そこで、一般的な利用シーンで考えられる6つのシチュエーションや条件を想定して、顔認証のぞき見ブロッカーがしっかり機能してくれるのか(してくれないのか)検証してみることにした。
なお、顔認識の「厳密さ」は10段階で設定できる。詳細は後述するが、今回は「マスク付きでも認証される」「でもできるだけ厳密に認識してほしい」というギリギリのセンを攻めてみた。
パターン1:Webカメラを使ったときの顔認識の速度は?
PC内蔵のWebカメラだと、場合によっては視野角が狭かったり、画質が粗かったりすることがある。極端に性能の低いWebカメラでは期待するようなセキュリティ性能を発揮できない可能性があるが、昨今の一般的なHD解像度(1280×720ドット)のWebカメラを使ったときにはどれくらいの精度で監視してくれるだろうか。
まず、カメラ映像からユーザーの顔が外れたときに、どのタイミングで不在が検知され、画面がロックされるかをチェックしてみた。結果は下記の動画にある通り、席を立った数秒後に警告表示され、数秒でロックされることが分かる。
[embedded content]
離席してから画面がロックされるまでの様子
こうした「ユーザーの不在を認識する時間」などの判定間隔は、管理画面でカスタマイズすることもできる。短い間隔で判定するよう設定すれば、その分セキュリティは向上する。ただ、わずかな時間顔が映っていないだけで画面がロックされることにもなる。判定の間隔が短すぎるとユーザーの使い勝手に影響するので、このあたりのバランスは管理者が慎重に設定したいところだ。
管理画面の「監視間隔」および「認証判定時間」と「不在判定時間」で、判定処理の間隔をカスタマイズできる
パターン4:マスクやサングラスをした状態でも認識される?
昨今はマスクの着用がマナーみたいなものになっており、オフィスや外出先でPCを使っているときも常にマスクをしている、という人は多いはず。会社としても、今のところは従業員に対して「セキュリティのために、マスクを外して仕事をして」と呼び掛けるわけにもいかないだろう。
そういうこともあって、実はマスクを着用した状態での顔認識にも対応している。管理画面でマスクを着用した状態の顔写真を別途登録する必要はなく、下記の画像にある通り、マスクを着用していてもスムーズに顔認識してくれた。
管理画面では素顔の写真のみ登録しておけばOK
マスクを着用した状態でも問題なくユーザーとして認識してくれる
次に、黒いサングラスのみをかけた状態でどうなるか試してみると、こちらも問題なく認識した。この程度の見た目の変化なら、サングラスを装着した状態の顔写真をあらかじめ登録しておく必要はないようだ。PC使用時にブルーライトカットの色付きメガネを着用する人も、安心して利用できるだろう。
ちなみにマスクとサングラスの両方を着用していると、ユーザーとして認識される場合もあるが、どちらかというと「未登録者」と判定されてしまうことが多くなった。さすがにここまで顔のディティールを隠してしまうとユーザーとして認識されにくいものと思われる。
PC利用可能:サングラスを着用した状態
画面ロックへ移行:マスクとサングラスを着用した状態
さて、顔認識の「厳密さ」だが、先述したように10段階から設定できる。管理画面の「認証レベル」の数値を変更すればいい。
これは、低い値のレベルにすると緩く、高い値のレベルにするとより厳格になるもので、推奨値は「マスクを付けた状態でも認識されたい場合はレベル4」「マスクを付けていない状態での認識を基本とする場合はレベル7」とされている。
今回の検証では、「マスク付きでも認証される」「でもできるだけ厳密に認識してほしい」の両立を狙って「レベル6」とした。
認証レベルによる違いも軽く検証してみたが、「認証レベルが高いと顔の向き次第で認識されなくなることが多い」「レベル7でも、真正面ならばマスクのままでも認識できることもある」といった印象だ。このあたりは、ユーザーの利用環境などに合わせて認証レベルを試行錯誤しながら調整すると良いだろう。
管理画面の「認証レベル」の設定で、認識の「厳密さ」を10段階から選べる
認証レベルが「7: 推奨(マスク無し)」であっても、真正面から写っている状態であれば、マスクを装着したままでも認証をパスすることがある
ただし、認証レベルを5以上に上げていくほど、顔に角度がついているときなどにより認証しにくくなるようだ
PCのパフォーマンス低下はほとんどなし!
最後にもう1つ、気になるのは、常時監視によるPCの負荷がどれほどなのか、というところ。いくらセキュリティが高まるとしても、監視処理にPCリソースが割かれて他のアプリの動作が重くなり、業務に支障が出てしまっては本末転倒だ。
おそらく最新のPCなら、負荷が多少高まったところで大きな問題はないだろう。ただ、数年前のスペックのPCを長く使い続けている企業もあるはずで、そういったPCでも利用できるかどうかは導入判断の基準の1つになるに違いない。
そこで、第8世代Intel Core i5-8265U(1.60~3.90GHz、2コア4スレッド)のCPUと、8GBメモリを搭載するノートPCで、監視中のCPU負荷をチェックしてみた。
第8世代Intel Core i5のノートPCで監視の負荷を検証
監視の際のカメラ解像度は、PCによっては複数から選択できる場合があり、今回検証に使用したPCでは4パターンから選ぶことができた。このカメラ解像度によって監視中のCPU負荷は多少変化するようで、最大画質の1280×720ドットでは最大6~7%程度のCPU占有率となった。
1280×720ドットでは最大6~7%程度のCPU占有率
この数値が大きいか小さいかは、同時に使用している他の業務アプリの内容にもよるが、もし負荷が大きいと感じるならカメラ画質を下げると良さそうだ。
640×480ドットでは最大4%前後、最低画質の320×180ドットでは最大2~3%程度となったため、これくらいの負荷なら他のアプリに与える影響はほとんど無視できるだろう。ただし、画質を下げることで、離れた他のユーザーからののぞき見を検知しにくくなる可能性があることは頭に入れておきたい。
640×480ドットでは最大で4%前後のCPU占有率
320×180ドットでは最大2~3%のCPU占有率
なお、これらはカメラのプレビュー画像を表示しているときの数値で、プレビュー表示をオフにした場合(管理画面側で設定)はそれぞれ1%程度負荷が軽減される。顔認証のぞき見ブロッカーの推奨PCスペックはIntel Core i3以上ということもあり、これらCPU負荷の数値を見る限りは、今回の検証機より低いスペックであっても日常の業務に差し障りなく利用できそうだ。
クラウドでまとめて管理、ログも残って実用性も十分
以上、顔認証のぞき見ブロッカーでどういったことができるかを、ユーザー側視点を中心に紹介してきたが、最後にIT管理者が運用するときに便利な機能も紹介しておきたい。
1つは、監視中に他人の顔を検知した場合などに、そのログを管理画面上で確認できるというものだ。
何が発生したのか、というテキストログはもちろんのこと、その瞬間のカメラ映像やデスクトップのキャプチャー画像が自動でユーザーのPCからクラウドに送信されるため、遠隔からでも管理側で従業員の端末の状況を正確に把握して、リスク評価もしやすくなる。
管理画面で何らかの警告があるとログとして残り、その時のカメラ画像などを確認できる
同じように画面ののぞき見防止を図る手段としては、ノートPCの画面に直接貼り付けて視野を狭くするプライバシーフィルターなどがある。しかしながら、テレワークの状況下では、ユーザー1人1人が正しく画面にフィルターを装着して仕事しているか、というのはリモートのIT管理者側では知りようがない。
そういう意味でも、汎用的なPC内蔵のWebカメラを活用して、ユーザーにかかる負担を可能な限り少なくしながら、遠隔管理も可能で、十分に実用度の高い「画面ののぞき見防止」というセキュリティ保護を可能にしている顔認証のぞき見ブロッカーは、IT管理者や企業の強い味方と言えるだろう。
料金については定期的に一定額を支払うサブスクリプション型で、1年間のライセンス費用は、1ライセンスあたり1万5000円。月額にすると1250円と、企業側のコスト負担を抑えられるという点でもうれしいところ。
導入を検討している場合はテスト導入も可能とのことなので、まずは自社の業務にマッチするサービスなのかどうか、製品情報を確認するところから気軽に始めてみてはいかがだろうか。