HOME情報セキュリティ資料・報告書・出版物調査・研究報告書「生体認証システムの導入・運用事例集」及び「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」

本文を印刷する

情報セキュリティ

「生体認証システムの導入・運用事例集」及び「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」

最終更新日 2008年8月25日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、生体認証システムの適切な運用と管理、利用等を促進するため、「生体認証システムの導入・運用事例集」を含む「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」をとりまとめ、2008年8月25日(月)より、IPAのウェブサイトで公開しました。
 本報告書は、「バイオメトリクス・セキュリティ評価に関する研究会」(座長:小松 尚久 早稲田大学教授、以下「研究会」)において、昨年10月から行われた検討の成果です。

生体認証システムの導入・運用事例集

 近年、生体の特徴(指紋、顔、静脈、虹彩等)を利用した、生態認証システムが急速に普及し、銀行ATM(現金自動預け払い機)をはじめとした様々な場所で用いられています。このため、生体認証システムの運用・管理の正しい理解を深め、適切な利用の促進が重要となってきました。
 そこでIPAは、研究会において生体認証システムを導入・使用している金融機関や自治体、医療機関など6組織にヒアリングを行い、生体認証の導入から運用に至るまでに留意した点や効果等を調査し、「生体認証システムの導入・運用事例集」としてまとめました。本事例集は2007年度にIPAが公開した 「生体認証導入・運用のためのガイドライン」の付録として、今後も拡充を続ける予定です。

バイオメトリクス・セキュリティ評価に関する研究会 調査報告書

 本報告書では、上述の事例集を取りまとめたほか、生体認証システムの継続的な安全性の確保に向け、認証精度評価に関する標準化動向と諸外国の取り組み状況について調査及び生体認証システムにおける脆弱性情報の取り扱いについて検討を行いました。
 生体認証の精度評価は、米国および韓国において、専門的な組織による対応がなされていますが、わが国においては、ベンダーが独自に行うものが主流となっており、同一基準での評価が困難となっています。生体認証の利用に際しては、各国において、文化や環境に根ざした利用法の違いが想定されることから、わが国においても、同一基準での精度評価の実現に向けての検討が必要です。

 ソフトウェア製品、ウェブアプリケーションの脆弱性について、IPAでは、JPCERT/CC (Japan Computer Emergency Response Team Coordination Center)とともに、「情報セキュリティ早期警戒パートナーシップ」という取扱いの枠組みを2004年7月より構築・運用しています。生体認証製品は情報システムのコンポーネントとして普及が進んでいることから、今後生体認証システムにおける脆弱性情報がこの枠組みにおいて取り扱われることが想定されます。報告書では、生体認証システムの脆弱性の取扱いの方向性の検討や今後の課題等について取りまとめました。
また、情報セキュリティ早期警戒パートナーシップでは、ソフトウェア製品、ウェブアプリケーションともに、多くの届出がなされ、事例の蓄積がなされています。今後は、生体認証においては、研究者や製品開発者との情報交換をもとに、生体認証の脆弱性に係る事例を蓄積し、脆弱性の定義および取扱方法に反映することが重要です。

 IPAは、2006年度および2007年度に、普及啓発資料「生体認証導入・運用のためのガイドライン」「生体認証利用のしおり」を作成し、生体認証の普及啓発に努めてきました。今回の事例集及び報告書を含め、今後も企業のシステム管理者の生体認証システム構築のための知識習得や、一般消費者に対する生体認証の正確な知識と生体認証システム利用法の習得を促す等の啓発活動を継続して実施していく方針です。

(参考)

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 小林/中野
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:お問合せ先

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/大海
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:お問合せ先

更新履歴

2008年 8月25日 事例集及び報告書掲載