ページの先頭です

コモンクライテリアを適用した生体認証の第三者評価・認証(1/2)

  • *本稿は、『映像情報メディア学会誌Vol.72, No.2』(一般社団法人 映像情報メディア学会、2018年3月発行)に掲載されたものを、同学会の承諾のもと掲載しております。

みずほ情報総研 情報セキュリティ評価室 室長 金子 浩之

1.まえがき

IoTやAIなどの先進技術を積極的に活用するディジタルイノベーションが活性化し、金融業界のFinTechに代表されるように、さまざまな分野においてITを活用した社会システムにおけるパラダイムシフトが起きつつあるといっても過言ではありません。

筆者は、IT製品のセキュリティに係る評価機関を運営し、ITセキュリティを評価するための国際標準「コモンクライテリア」に基づいて、評価対象のIT製品の開発者ではない第三者の立場で評価を実施しています。ディジタルイノベーションの波は、評価対象のIT製品の評価の観点、すなわちセキュリティを確保するための要素技術や、想定すべき脆弱性への攻撃方法にも大きな変化を与えつつあることを実感します。

本稿では、ITセキュリティの第三者評価・認証の新しい対象分野である「生体認証」に対し、コモンクライテリアを適用した評価の枠組みを利用した第三者評価・認証に向けた活動の経緯や評価実務への適用の動向を紹介します。

2.ITセキュリティの評価標準

2.1 コモンクライテリア

システムのセキュリティを考慮したIT製品は、安全性を確保するためのセキュリティ機能を備えています。この機能が正しく動作することを検証するためには、動作不全や不当な干渉に対する耐性テストに加え、攻撃者の行動を模擬した侵入テストを行う必要があり、セキュリティに対する体系的な知識や専門的な技能が求められます。そのため、IT製品の開発者自身がセキュリティ機能の正当性を保証することに加えて、専門的な知見と技能を持つ第三者が、共通の基準に基づいて設計および実装の観点からその保証の信頼性を評価する仕組みが重要となります。この保証と評価の標準を国際規格としたものが「ITセキュリティ評価基準」、通称コモンクライテリア(CC: Common Criteria,ISO/IEC15408)であり、第三者による評価手法がまとめられた「ITセキュリティ評価のための共通方法」(CEM:Common Evaluation Methodology,ISO/IEC18045)とともに利用されています。CCは、パート1:概説と一般モデル、パート2:セキュリティ機能要件、パート3:セキュリティ保証要件の三つのパートで構成され、技術仕様であるとともに、セキュリティ評価基準としての体系が方法論として示された国際標準といえます。CEMは、CCパート3のセキュリティ保証要件を具体的に評価するためのアクティビティを整理したものであり、製品種別に特化しない共通的な方法論を示しています。

2.2 ITセキュリティ評価・認証の枠組み

日本では2001年からCC・CEMを適用した「ITセキュリティ評価および認証制度」*1の運用が開始され、2003年にはこの評価基準を使って認証した製品を国際的に相互認証するためのCC相互承認協定(CCRA : CommonCriteria Recognition Arrangement)にも加盟しました。製品ベンダーは、自社が開発するIT製品について、販売のターゲットとする顧客層、もしくは具体的な購入予定者からのセキュリティに関する要求やニーズをもとに、製品に組込むセキュリティ機能の設計、実装を行います。この制度を利用することで、第三者である評価機関から、実装したセキュリティ機能の保証に係る活動の成果がCCに準拠しているかどうかの評価を受けます。さらに、その評価結果が国際標準に適合していることを、認証機関が調査し、製品バージョン単位でCC認証が与えられる仕組みです。

3.コモンクライテリアを適用した生体認証の第三者評価の取組み

3.1 生体認証の評価における課題

(1)生体認証のニーズ

生体認証(バイオメトリック認証)は、生体的特徴(指紋、静脈、顔、虹彩など)や行動特性(声紋、筆跡など)といった身体的特徴からの情報により本人を認証するメカニズムです。物(IDカードなど)や記憶(パスワードなど)に基づく認証よりも「なりすまし」が困難であり、かつ可搬性や運用性が高いとされます。2001年の米国同時多発テロ後の入国審査や重要施設における入退室管理の厳格化などの要求から生体認証へのニーズが広まり、さまざま生体認証製品が市場に投入されてきました。指や手のひらの静脈パターンを使用する静脈認証が銀行ATMに採用されてから早10年が経過し、最近では、スマートフォンのロック解除や多要素認証への適用、またFIDO(Fast IDentityOnline:端末での認証結果をシステム側にPKI技術を用いて伝える仕組み)に基づく決済認証への適用が進みつつあります。

このように、生体認証を応用したシステムが、さまざまな用途で利用されることを踏まえ、生体認証の性能評価に関する国際標準ISO/IEC 19795シリーズが2006年以降、順次発行されました。

(2)生体認証の性能指標

生体認証システムの性能評価に用いられる主な指標は三つあり、本人の生体情報を正確に登録できること、本人を正しく認証すること、他人を適切に他人と見分けることのそれぞれのエラー発生確率を評価します。ISO/IEC19795では、順に登録失敗率(FTE: Failure to Enroll)、誤拒否率(FRR: False Reject Rate)、誤受入率(FAR:False Accept Rate)と表現しています。生体認証システムの製品ベンダーは、製品の想定利用者の人口統計分布に合わせて数百から数万人規模で被験者を集め、実際に製品を操作してもらいFTEとFRRを算出します。その後、他人同士のデータを用いた照合のシミュレーションを行い、FARを算出し、さらに、値の信頼性を高めるための統計的な補正を行い、FTE・FRR・FARの宣言値を算出します。

(3)偽造物による攻撃への対策

生体認証システムの攻撃者は、製品に潜む脆弱性を探し出し、本人以外による認証が成功するように攻撃を行うことが想定され、なかでも生体情報を模した偽造物を使って試行する攻撃は、他のIT製品にはない生体認証固有の特徴的な攻撃方法です。このような攻撃への対策の一つとして、多くの生体認証システムは、提示物が偽造物であることを検知するための仕組みを備えています。例えば、温度センサや特殊な光学センサなど、生体の特徴に応じて設置した各種センサからの情報を解析し、さらに提示の行動様式を分析するなどして、生体認証システムに提示されたものが生体か偽造物かを判別します。

(4)製品情報の公開に関わる懸念・課題

しかしながら、製品ベンダーのカタログに記載された性能値は、あくまで自己評価の結果の宣言値であり、こうした標準を正しく適用して導いたことを証明することは困難です。また、偽造物による攻撃への対抗策に関しても、偽造物の特性や不適切な提示方法に対する耐性について、利用者に対して客観的かつ詳細に説明することは、かえって脆弱性に関わる情報を与えることにもなるため難しいというのが現実問題です。

(5)国際規格による性能評価の枠組み

このような製品情報の公開に関わる課題を解決し、生体認証システムの市場が健全に発展していくために、自己評価の枠組みに加えて、第三者評価の枠組みが求められます。社会的に認知された評価基準に基づく第三者評価の枠組みが確立されれば、生体認証システムを導入する利用者側はもちろんのこと、製品ベンダーにとっても、カタログ上の性能値の妥当性や偽造物攻撃耐性を客観的に保証し、利用促進および市場拡大を図ることができるため、そのメリットは非常に大きいと考えられます。

関連情報

この執筆者はこちらも執筆しています

ページの先頭へ