HOME >> 情報セキュリティ >> 事業概要 >> 記事

本人認証技術の現状に関する調査

最終更新日 2003年7月29日

情報処理振興事業協会
セキュリティセンター

電話番号:03-5978-7501までお問い合わせください。

実施者

概要

背景

2002年12月6日の衆院本会議において、「オンライン 3法」と呼ばれる一連の法案が、成立した。この成立により、公的個人認証基盤の構築が決定されたことになる。このような状況において、電子政府について、これまでにない広域かつセキュアな本人認証技術の確立が重要な要件となっている。

本人認証技術としては、ネットワーク上におけるクライアント又はサーバー認証のための各種のセキュアプロトコル、これまで多く使用されてきたパスワードによる認証技術、公開鍵暗号による認証と署名の技術、IC カードなどを使用した認証技術、シングルサインオンに関連した技術、バイオメトリクス技術等の多く技術が存在している。これらは、互いに関連しているため、各技術の適用分野や連携方法を明確にしておく必要がある。

本人認証に関連した個々の技術は、それぞれ独自に発展してきた経緯がある。その発展の過程も限られたドメインの認証から派生した技術が多い。これらを広域な認証ドメインにおいて、そして高いセキュリティレベルを実現にするには、まだ大きな壁がある。壁のひとつは相互運用の問題である。多くの本人認証技術は、限られた環境で動作すればよく、相互運用性の問題が大きくクローズアップされることはなかった。ローカルなドメインでの認証では問題にならなかったプライバシーの問題も、広いドメインの認証では重要な意味を持つ。電子政府においてはこれらを総合的に考慮する必要がある。

目的

電子政府システムの情報セキュリティ確保において、システム利用者の適切な本人確認は、必須の要件のひとつである。電子政府の各システムにおいても、様々な本人認証技術(例えば、ネットワーク上におけるセキュアプロトコルと、そのプロトコルでの認証、ICカード及びバイオメトリクス技術等)が採用されている。

セキュアなシステムの設計や構築にあたって、本人認証技術の現状や、標準化動向を十分に把握した上で適切な技術を採用し実装する必要がある。電子政府全体で採用する本人認証技術に関する共通の仕様やガイドライン、そして、本人認証技術に関連したセキュリティ基準などの作成も重要になるであろう。

そこで、本人認証技術及びその周辺技術の現状に関して包括的な調査を行い、個々の技術の関連を明らかにし、それぞれの技術がどのような要求に適用できるかをまとめ、現行の諸システムにおける問題点の指摘と、技術の適用方法に関する提言を行う。

調査報告書

参考情報

標準化団体

  1. ISO/IEC JTC1

    URL: http://www.jtc1.org/
    ISOとIECが情報技術に関する標準化を行うために設立した合同技術委員会。
    本人認証技術に関連した標準化は下記SCにて審議が進められている。

    SC 分野 これまでに策定したIS
    17 カードと個人識別 ISO/IEC 7816
    27 情報セキュリティ技術 ISO/IEC 9798、ISO/IEC 15408、ISO/IEC 17779
    37 バイオメトリクス (2002年12月〜)
  2. IETF

    URL: http://www.ietf.org/
    IISOC(インターネット協会)のもとで一般的な幅広いインターネットの標準のRFCを作成する機関。また、PKIXワーキンググループでは証明書を使用した通信プロトコルなどの標準化を進めている。

  3. W3C

    URL: http://www.w3.org/
    WWWで使用されるさまざまな技術標準を定める非営利団体。HTML、HTTP、XMLなどの標準を策定している。XML署名フォーマット標準はW3CとIETFの共同のWGで策定された。

  4. BioAPI Consortium

    URL: http://www.bioapi.org/
    バイオメトリクス認証ベンダーがAPI仕様を統一するために設立したコンソーシアム。米国に本拠を置く。2002年2月現在、124社が加盟している。2000/3にVer1.0を、2001/3にVer1.1をリリースした。Ver1.1は2002/2 ANSI規格となった。ホームページ上では、現在11社より準拠製品がリリースされている。

  5. OASIS

    URL: http://www.oasis-open.org/
    XMLに関連する応用標準を定める団体で、ボストンに本部をおく。XCBF Technical Committee 委員会がある。W3C が XML や HTML のような Web に関する基礎技術を扱い、OASIS はその上位のアプリケーションよりの標準化を扱う。

  6. X9

    URL: http://www.x9.org/
    米国の金融業界向け国内標準(ANSI)の審議機関。金融システムにおいてバイオメトリクスを取り扱う際のセキュリティ要件を規定している ANSI X9.84を策定した。

  7. INCITS/M1

    URL: http://www.incits.org/tc_home/m1.htm
    米ANSI認定の標準案策定組織であるINCITS(InterNational Committee for Information Technology Standards)内においてバイオメトリクス標準化を担当している技術委員会。これまでに BioAPI Ver1.1 を ANSI 化 (ANSI/INCITS 358) した他、米国の NB として、ISO/IEC JTC1 SC37に積極的な提案を行なっている。

  8. NIST

    URL: http://www.nist.gov/
    NIST(National Institute of Standards and Technology)は、各種工業製品の標準化を行う連邦政府機関である。本書に関連した標準としては、連邦政府情報処理規格であるFIPS(Federal Information Processing Standards)と、バイオメトリクス情報を格納する際のデータフォーマットである CBEFF (Common Biometric Exchange File Format) がある。

  9. CESG/BWG

    URL: http://www.cesg.gov.uk/technology/biometrics/
    英国政府機関として公的使用を目的とした情報保証のポリシーやガイドライン策定を行う CESG (Communications Electronics Security Group)内に設置されたバイオメトリクス関連のワーキンググループ。これまでにバイオメトリクスの認証精度評価方法のガイドラインである BestPractice、バイオメトリクス認証装置のProtection Profileの策定を行っている。

  10. JSA/INSTAC

    URL: http://www.jsa.or.jp/domestic/instac/index.htm
    日本規格協会(JSA)の内部組織として、情報技術分野における各種の標準化調査研究を行う機関。正式名称は「情報技術標準化研究センター」(Information Technology Research and Standardization Center)。これまでに指紋認証の精度評価方法(TR X0053)、虹彩認証の精度評価方法(TR X0072)を策定した。

  11. TCPA(Trusted Computing Platform Alliance)

    URL: http://www.trustedcomputing.org/
    コンピュータのセキュリティ強化をターゲットに活動する業界団体。米Compaq社、米HP社、米Intel社、米Microsoft社が運営委員。セキュリティーチップを含めたハードウェアと、ソフトウェアでセキュリティを実現するTCPA仕様の策定と普及を推進する。

  12. EESSI(European Electronic Signature Standardization Initiative)

    URL: http://www.ictsb.org/eessi/EESSI-homepage.htm
    法的に有効な電子署名をサポートするための標準化活動を行う団体。EU の電子署名法の基準である EU Directive に沿って設立された。

  13. ETSI(European Telecommunications Standards Institute)

    URL: http://www.etsi.org/
    欧州通信規格協会。ヨーロッパにおける通信関係の標準化機関。通信関係の EN (欧州規格)や ETS (欧州通信規格)を制定している。

  14. CEN European Committee for Standardization

    URL: http://www.cenorm.be/
    CENは欧州の標準化団体。ヨーロッパ 22ヶ国が加盟し、電気分野担当の CENELEC (European Committee for Electrotechnical Standardization、 http://www.cenelec.org) 及び通信分野担当の ETSI (European Telecommunications Standards Institute、 http://www.etsi.org)と協調して欧州規格(EN)の制定にあたる。1961年設立、本部はベルギー。

  15. CEN/ISSS(CEN Information Society Standardization System)

    URL: http://www.cenorm.be/isss/
    情報通信技術を専門に扱うことを目的として1999年に設置されたCENの一部門。