eIDAS規則における保証レベルやモバイルeIDプロセス-ENISA「eIDAS compliant eID Solutions」を読む

eIDASについて、ENISA(欧州共同体セキュリティ庁))から、「eIDAS適合なeIDソリューション(eIDAS compliant eID Solutions)」という報告書(eIDソリューション報告書といいます)がでているのに気がついたので、分析してみたいと思います。

まずは、基本的な概念からいきます。

eIDAS規則

「域内市場における電子取引のための電子ID及びトラスト・サービスに関する、及び指令1999/93/ECの廃止に関する2014年7月23日付け欧州議会及び理事会規則(EU)第910/2014号」になります。

eID(electronic identification)

「自然人ないし法人を一意的に表し、あるいは法人を代表する自然人を一意的に表す電子形式の個人IDデータを利用するプロセスを意味する」とされています。あえて日本語かすると電子識別プロセスということになるだろうと考えます。(eIDAS規則 3条(1))

eID手段(eID means)

個人識別データを含む有形及び/あるいは無形のユニットを意味し、オンライン・サービスの認証に使用される。(eIDAS規則 3条(2))

個人識別データ(person identification data)

自然人ないし法人のアイデンティティ、あるいは法人を代表する自然人のアイデンティティの証明を可能とするデータの集合を意味します。(eIDAS規則 3条(3))

eIDスキーム(electronic identification scheme)

自然人ないし法人、あるいは法人を代表する自然人に電子識別(eID)手段のもとで発行される電子識別のシステムを意味する。(eIDAS規則 3条(4))

これらの概念をもとにeIDASソリューションの動向をみていきます。eIDソリューション報告書は、

本報告書は、電子識別(eID)に関するeIDASの下での法的枠組みの概要を説明し、届出済みおよび事前届出のeIDスキームの状況を示し、電子識別分野の主要な傾向を明らかにしています。さらに、eID手段に使用される基盤技術に関連するセキュリティの予備的考察と推奨事項を論じ、eIDAS準拠のeIDエコシステムにおいてENISAが果たし得る役割について提案している。

ということになります。

エグゼクティブサマリーは、別として報告書は、1 序、2 セキュリティ考慮事項、3 サイバーセキュリティ法のもとにおけるENISAのチャンス(Opportunity)、付録からできています。以下、各章ごとによんでいきます。

1 序

1.1 範囲と目的

eIDAS規則の目的、通知されたeIDスキーム・eID手段についての強制的な越境承認が2018年9月よりなされていること、それによりオンライン公共サービスが確かにされていること、それにより、本書は、

本報告書の目的は、eIDソリューションを提供する現行技術の現状を概観し、その進化の指針となる重要なトレンドを概説し、これらの技術に関するセキュリティ上の考慮事項と推奨事項を詳しく説明し、この分野におけるENISAの想定される役割について最初の洞察を提供することである。本報告書の対象読者は、eIDAS関係者とeIDソリューションの提供に関心を持つサードパーティである。

とされています。

1.2 法的枠組

この部分では、eIDAS規則における電子識別(1.2.1)が論じられています。そこでは、上の基礎的な概念でふれたeID、eIDスキーム、eID手段の定義が紹介されており、規則が、市民に対してeID手段をもちいてトラストのレベルを共有して、利用する枠組を構築しようとしていることが説明されています。そして、そのためにeIDスキームの通知(eIDAS規則9条)、委員会実装決定(CIS(EU))(2015/1984-域内市場における電子取引のための電子的識別及び信託サービスに関する欧州議会及び理事会の規則(EU)No 910/2014の第9条(5)に基づく通知の状況、様式及び手続の定義)において、eIDスキームの状況、様式、手続がきさいされていることなど(ピアレビューについて CID (EU) 2015/296 -域内市場における電子取引のための電子的識別及びトラストサービスに関する欧州議会及び理事会の規則(EU)第910/2014号第12条(7)に基づく電子的識別に関する加盟国間の協力のための手続的取決)が、説明されています。

また、そこでは、相互承認( Mutual recognition)が規制されています。この相互承認は、少なくとも、実質的保証レベル(Substantial LoA(SubstantialまたはHighの意))の電子ID手段を必要とするオンラインサービス、およびLoAがオンラインサービスの要求するレベルと一致するeIDスキームに対してのみ義務づけられています。 同規則は、保証レベル(LoA)として、通知された電子識別スキームの下で発行された電子識別手段について、3段階の保証レベル(低レベル、実質的、および高レベル)を導入しています。電子識別手段の LoA とは、この電子識別手段を用いた電子識別の際に、主張された本人確認に置ける信頼の度合いを意味します。これらの定義については、同規則8条で与えられています。

CIR (EU) 2015/1501(域内市場における電子取引のための電子認証及び信託サービスに関する欧州議会及び理事会の規則(EU)第910/2014号第12条(8)に基づく相互運用性フレームワークについて)では、国境を越えた認証をサポートする相互運用性フレームワークのさらなる要件が規定されています。CIR (EU) 2015/1502(域内市場における電子取引のための電子的識別及び信託サービスに関する欧州議会及び理事会の規則(EU)第910/2014号第8条(3)に基づく電子識別手段の保証レベルに関する最低限の技術仕様及び手続の策定)では、各LoAについて満たすべき最低限の要件が記述されています。これは主に、電子的識別手段の発行前の最初の身元証明、電子的識別手段の特性(設計、 発行および起動、ライフサイクル管理)、認証プロセスおよび組織と管理の一般要件(これらの電子 的識別手段を発行する ID プロバイダの要件を含む)に対して期待される要件を詳述しています。

1.2.2 CIR (EU) 2015/1502の詳述

上のCIR (EU) 2015/1502は、通知された電子識別スキームの下で発行された電子識別手段の各保証レベルに対する技術仕様と手順を定めています。

  • 登録
  • 電子 ID 手段管理
  • 認証メカニズム
  • 管理および組織

の4 つの主要セクションで構成されています 。 ある電子 ID 手段の LoA に適合するためには、この LoA のすべての要件(すなわち 4 つのセクション)に適合する必要があります。これは、登録時に検証される ID データの「品質」が、eID 手段の堅牢性、および関連する攻撃に対する保護レ ベルと相関することを意味しています。これに対してNIST SP 800-63-3 フレームワークは、これに対して、ID 保証レベル(IAL)と認証(authenticate)保証レベル(AAL)を別々の文書で評価しています。

ということで、このCIR (EU) 2015/1502を紹介します。以下は、CIR (EU) 2015/1502における電子ID手段の保証レベルの表になります。

実質 高い
登録 (申請および登録)
1. 申請者が電子的識別手段の使用に関連する条件を認識していることを確認する。
2申請者が、電子的識別手段に関する推奨されるセキュリティ上の注意事項を理解していることを確認する。
3. 身元証明および検証のために必要な関連 ID データを収集する。
(アイデンティティ証明および検証)
1. その人は、電子 ID 手段の申請が行われている加盟国が認めた、主張された ID を表す証拠 を所持していると見なすことができる。
2. その証拠は真正であるか、権威ある情報源によれば存在すると想定でき、その証拠は 有効であると思われる。
3. 権威ある情報源により、主張された ID が存在することが分かっており、その ID を主張する人物が同一人物であると仮定することができる場合。
(申請および登録)

(アイデンティティ証明および検証)
低に加えて以下のひとつ
1 その人は、電子 ID 手段の申請が行われている加盟国が認めた、主張する ID を表す証拠 を所有していることが確認されており、
かつ、
その証拠が本物であることを決定するためにチェックされている。または、権威あるソースによれば、それは実在する人物に関連することが知られていること
かつ
その人の ID が、たとえば紛失、盗難、停止、失効または期限切れ証拠のリスクを考慮し て、主張する ID でないリスクを最小限に抑える手段が講じられていること
あるいは
2. ID 文書が発行された加盟国での登録プロセスで提示され、その文書が提示する人物に関 連しているように見え、かつその人物の ID が、たとえば紛失、盗難、一時停止、取り消し、 または期限切れの文書のリスクを考慮して、主張した ID でないリスクを最小限に抑えるための手 段が講じられている場合、
または
3. 電子識別手段の発行以外の目的で、同じ加盟国の公共または民間団体が以前に使用した 手順が、実質的な保証レベルについて 2.1.2 項で規定したものと同等の保証を提供している場合、 登録に責任を負う団体は、かかる同等の保証が欧州議会および理事会の規則(EC)No 765/2008(1) 第 2 項(13)に言及する適合性評価団体または同等の団体により確認されていれば、以前の手順を 繰り返さなくてよい、
または
4. 電子識別手段が、保証レベルが相当または高い有効な通知済み電子識別手段に基づいて発行され、かつ、人物識別データの変更のリスクを考慮する場合、身元証明および検証プロセスを繰り返す必要はない。基盤となる電子識別手段が通知されていない場合、規則 (EC) No 765/2008 の第 2 条(13)に言及する適合性評価機関または同等の機関によ り、保証レベル相当または高を確認する必要があります。
(申請および登録)

(アイデンティティ証明および検証)
「実質」に加えて、以下の1ないし2
1  レベル相当に加えて、(a)~(c)に掲げる選択肢のいずれかを満たす必要がある。
(a) 電子 ID 手段の申請が行われている加盟国が認める写真またはバイオメトリクス ID 証拠を所持していることが確認され、その証拠が主張する ID を表している場合、その証拠が権威あるソースに従って有効であることを判断するために確認されている。
(b) 電子的 ID 手段の発行以外の目的で、同じ加盟国の公共または民間団体が以前に使用し た手順が、第 2 節に規定するものと同等の保証を提供する場合。
1. ただし、規則(EC) No 765/2008の第2条(13)に言及する適合性評価機関又は同等の機関により、同等の保証が確認され、かつ、以前の手順の結果が引き続き有効であることを示すための措置が取られていることが条件である。
または
(c) 電子識別手段が、高い保証レベルを持つ有効な通知済み電子識別手段に基づいて発行され、 かつ人物識別データの変更のリスクを考慮する場合、身元証明および検証のプロセスを繰り返す 必要がない場合。根拠となる電子識別手段が未通知の場合、規則 (EC) No 765/2008 の第 2 条(13)に言及する適合性評価機関または同等の機関によって保証レベル高が確認されなければならず、通知された電子識別手段のこの以前の発行手順の結果が有効であることを示すために措置される。
または
2.申請者が公認の写真または生体認証の証拠を提示しない場合、そのような公認の写真または生体認証の証拠を入手するために登録担当機関の加盟国の国内レベルで使用されるのと全く同じ手順が適用される。
電子 ID 手段管理 (eID手段の特徴とデザイン)
1. 電子的識別手段は、少なくとも1つの認証因子を利用すること。
2. 電子的識別手段は、それが属する人の管理下または所有下でのみ使用されることを確認するために、発行者が妥当な措置を講じるように設計されること。
(発行、配送、アクティベート)
発行後、電子識別手段は、意図した人物にのみ届くと想定できる仕組みで配信される。
(停止・無効化・再アクティベート)
1. 電子的識別手段を適時かつ効果的に停止し、/又は取り消すことができること。
2. 不正な停止、取り消し及び/又は再活性化を防止するために講じられた措置が存在すること。
3. 再活性化は、停止または失効前に確立されたものと同じ保証要件が引き続き満たされる場合にのみ行われるものとします。
(更新および交替)
人物識別データの変更のリスクを考慮し、更新または交換は、最初の ID 証明および検証 と同じ保証要件を満たす必要があるか、同じ保証レベルまたはより高い保証レベルの有効な電子識別手段に基づいている必要がある。
(eID手段の特徴とデザイン)
1. 電子的識別手段は、異なるカテゴリーから少なくとも2つの認証要素を利用する。
2. 電子的識別手段は、それが属する人物の管理下または所持下にある場合にのみ使用されると想定できるように設計されている。
(発行、配送、アクティベート)
発行後、電子識別手段は、それを所有する者のみに引き渡されることが想定できる仕組みで引き渡されます。
(停止・無効化・再アクティベート)
低に同じ
(更新および交替)
低に同じ
(eID手段の特徴とデザイン)
レベル実質に加えて
1.電子的な識別手段は、複製や改ざん、高い攻撃力を持つ攻撃者から保護されている
2. 電子的識別手段は、その所有者が他者による使用から確実に保護できるように設計されている。
(発行、配送、アクティベート)
アクティベーションプロセスは、電子識別手段が帰属すべき本人の手元にのみ届けられたことを検証する。
(停止・無効化・再アクティベート)
低に同じ
(更新および交替)
レベル低に加えて:更新または交換が有効な電子的識別手段に基づいて行われる場合、識別データが権威ある情報源で検証される。
認証メカニズム 1. 個人識別データの公開は、電子識別手段およびその有効性の確実な確認に先立ち行われる。
2. 認証メカニズムの一部として個人識別データが保存される場合、その情報は、紛失および オフラインでの分析を含む侵害から保護するために安全が確保される。
3. 認証メカニズムは、電子的な識別手段の検証のためのセキュリティ制御を実装し、基本的な攻撃能力を強化した攻撃者による推測、盗聴、再生、通信操作などの活動が認証メカニズムを破壊する可能性が極めて低くなるようにする。
レベル低、プラス:1.個人識別データの公開は、動的認証による電子識別手段およびその有効性の確実な検証に先立ち行われる。
2. 認証メカニズムは、電子的な識別手段の検証のためのセキュリティ制御を実装しており、中程度の攻撃力を持つ攻撃者による推測、盗聴、再生、通信操作などの活動が認証メカニズムを破壊する可能性が極めて低い。
高レベル相当、プラス:認証メカニズムは、電子的な識別手段の検証のためのセキュリティ制御を実装しており、高い攻撃力を持つ攻撃者による推測、盗聴、リプレイ、通信操作などの活動が認証メカニズムを破壊する可能性が極めて低い。
管理および組織  (一般規定)
1. 本規則の対象となる運用サービスを提供するプロバイダは、公的機関または加盟国の国内法によってそのように認められた法人であり、確立された組織を持ち、サービスの提供に関連するすべての部分において完全に運用可能なものです。
2. 提供者は、求められる情報の種類、身元証明の方法、どのような情報をどの程度の期間保持するかなど、サービスの運営および提供に関連して課されるあらゆる法的要件を遵守する。
3. 提供者は、損害賠償のリスクを負う能力、およびサービスの継続的な運営と提供のための十分な財源を有していることを証明できること。
4.プロバイダは、他の事業者に委託した業務を遂行し、スキーム・ポリシーを遵守することについて、プロバイダ自身がその業務を遂行した場合と同様の責任を負うこと。
5. 国内法によって構成されていない電子識別スキームは、効果的な終了計画を持たなければならない。この計画には、秩序あるサービスの停止または別のプロバイダによる継続、関係当局およびエンドユーザへの通知方法、ならびにスキームポリシーに従った記録の保護、保持および破棄方法に関する詳細が含まれていなければならない。
(通知の公表および利用者情報)
1. 適用されるすべての条件および料金を含む、公表されたサービス定義が存在すること(使用上の制限を含む)。サービス定義には、プライバシーポリシーが含まれるものとします。
2. サービス定義、適用される条件、および特定サービスのプライバシーポリシーの変更について、サービスの利用者に適時かつ確実に通知するために、適切な方針と手順が導入されていること。
3. 情報提供の要請に対し、適切な方針と手順を定め、完全かつ正確に対応すること。
(情報セキュリティマネジメント)
情報セキュリティリスクを管理・制御するための効果的な情報セキュリティマネジメントシステムがある。
(記録保管)
1. データ保護とデータ保持に関して適用される法律と優れた実践を考慮し、効果的な記録管理システムを用いて関連情報を記録し、維持する。
2. 国内法またはその他の国の行政上の取り決めにより許可されている限り、監査およびセキュリティ違反の調査、保管の目的で必要な期間、記録を保持し保護し、その後記録は安全に破棄される。
(設備とスタッフ)
1. スタッフおよび協力会社が、果たすべき役割を遂行するために必要なスキルの十分な訓練、資格、経験を有していることを保証する手続きの存在。
2. サービスの方針と手順に従い、サービスを適切に運営し、リソースを提供するために十分なスタッフ及び下請け業者が存在すること。
3.サービスを提供するために使用する設備は、環境事象、不正アクセス及びサービスのセキュリティに影響を与える可能性のあるその他の要因による損害を継続的に監視し、防止していること。
4. サービス提供のための施設は、個人情報、暗号情報またはその他の機密情報を保有または処理する区域へのアクセスが、権限を与えられたスタッフまたは下請け業者に制限されていることを保証する。
(技術的コントロール)
1. サービスのセキュリティにもたらされるリスクを管理し、処理される情報の機密性、完全性、可用性を保護するための適切な技術的コントロールが存在すること。
2. 個人情報または機密情報の交換に使用される電子通信チャネルは、盗聴、操作、および再生から保護されていること。
3. 電子的な識別手段の発行や認証に使用される機密性の高い暗号資料へのアクセスは、アクセスを厳密に要求する役割とアプリケーションに制限されます。そのような材料は、決してプレーンテキストで永続的に保存されないことが保証されるものとする。
4. 長期にわたってセキュリティが維持され、リスクレベルの変化、インシデント、セキュリティ違反に対応する能力があることを保証するための手順が存在する。
5. 個人情報、暗号情報、その他の機密情報を含むすべてのメディアは、安全かつ確実な方法で保管、輸送、廃棄される。
(コンプライアンスと監査)
提供されるサービスの提供に関連するすべての部分を含むように範囲設定された定期的な内部監査が存在し、関連する方針の遵守を保証すること。
(一般規定から技術とスタッフまで)
低に同じ(技術的コントロール)
レベル低と同じ、加えて:機密性の高い暗号物質で、電子的な識別手段や認証の発行に使用される場合は、改ざんから保護される。(コンプライアンスと監査)
提供されるサービスの提供に関連するすべての部分を含む、定期的な独立した内部または外部監査が存在し、関連する方針への準拠を保証する。
(一般規定から技術とスタッフまで)
実質に同じ
(技術的コントロール)
実質に同じ
(コンプライアンスと監査)
高 1.提供されるサービスの提供に関連するすべての部分を含む、定期的な独立した外部監査が存在し、関連する方針への準拠を保証していること。
2.制度が政府機関により直接運営されている場合、国内法に従い監査が行われている。

となります。法人における代表者と法人とのリンクについては、省略。

eIDソリューション報告書によると、登録レベルにおいて、有効な eID 手段は、登録が行われた eID 手段と少なくとも同じ保証レベルを持つ限り、ID 証明を実行し ID データを収集するために ID 証明プロセス中に使用することができること、さらに、エンロールメントのセクションでは、法人に対する要件、および自然人と法人 の電子 ID 手段の間の結合に対する要件が拡張されていることに注目すべきとされています。

また、eIDの設計、発行、アクティベーション、ライフサイクルマネジメントにおいては、

  • 保証レベル「実質」に到達するためには、2 つの異なる認証要素に基づく eID が必須である。
  • 保証レベル「高」 の場合、eID 手段は、高い可能性を持つ攻撃、および複製や改ざんから保護されなければなら ない。ただし、高い攻撃可能性の概念は CIR では定義されておらず、協力ネットワーク が CIR に対して発行した「eIDAS 規制をサポートする保証レベルの適用に関するガイダンス」のみで定義されている
  •  一時停止と再活性化が可能であり、再活性化には一時停止前に設定した保証要件と同じ保証要件を満たすことが必要である。 更新プロセスについては、CIR は eID 手段の最大有効期間について明示的に言及し ていない。

に注目すべきとしています。

認証については、保証レベル「実質」から動的認証が必須となり、識別情報の公開に先立ち、動的認証が必要である。認証メカニズムは、保証レベル低では拡張された基本、保証レベル実質 では中程度、保証レベル高では高程度の可能性を持つ攻撃にそれぞれ耐えられるものでなければなりません。

最後に、管理および組織に関するセクションは、eID スキームに関与する参加者の要件に ついて詳述している。これらの要件は、ID プロバイダに関する一般規定、必須情報の公開、情報セキュリティ管理、 施設およびスタッフの管理、記録保持、技術管理、および定期的な監査に及んでいます。

体的なグローバルな観点から、 これらの要件は、eID手段に使用される基礎技術には関係ないこと、協力ネットワークが発行したCIRの「eIDAS規則をサポートする保証レベルの適用のためのガイダンス」にのみ、関連する参照が提供されていることが紹介されています。

1.2.3 CIR (EU) 2015/1501の詳述

この規則は、加盟国間の接続を確保するために使用されるeIDASノードという概念を導入しています。この規則では、ノードが相互運用性、データ保護、ノード間の通信に使用するメッセージの点で満たすべき要件について詳しく説明していますが、これらの目的のために特定の標準が言及されているわけではありません。唯一参照されている規格は、ノードオペレータのセキュリティ管理に関するISO/IEC 27001です。

ノードのセキュリティについては、処理される電子証明書の保証レベルに関する具体的な要件はありません。 また、同規則は、協力ネットワークに対して、相互運用性の枠組みをサポートし得る技術仕様(2.1.1.2項参照)に関する意見を出すこと、および欧州委員会に対して、加盟国が適用またはテスト用のサンプルとして使用できる、例としての参照実装を提供することを義務付けています。また、CIRは、国境を越えた状況での個人認証に必要な最小限のデータセット、すなわちeIDASノードが相互に交換する最小限のデータセットを定義しています。

1.3 eIDAS規則のもとでの通知済みおよび事前通知された eID スキームの概要

ここでは、eIDスキームの通知についての概説がなされています。イタリア、エストニア、ベルギー、クロアチア、ルクセンブルグ、スペインが、このスキームを通知した先行国でした。また、ドイツは、プライバシーの協力の保護の観点から、別個のスキームで通知をしています

また、報告の時点(2020年3月)で、国民IDのみならず、スマートフォンアプリを用いたeIDスキームが議論されていることなどは、興味深いです。具体的には、

加盟国は、オンライン認証の利用状況やエンドユーザの期待に応え、モバイルソリューションに基づくスキームも通知している。カードベースのエストニア Mobiil-ID、ラトビアの eParaksts、ポルトガルの Chave Móvel Digital、ベルギーの FAS/itsme eID、デンマークの NemID、イタリアの SPID スキームの下で発行された eID 手段の一部などが、こうした傾向に沿った届出済みまたは事前届出のソリューションの例であ る。このように、スキームの背後にある技術は異なっている。

Mobiil-IDは、契約に基づいて携帯電話会社から発行される特定のSIMカードを使用します。このSIMカードには、電子認証と電子署名のための専用アプリケーションが組み込まれている。提供されるSIMカードは、コモンクライテリアの認証を受け、電子署名のためのQSCDを搭載している。電気通信事業者が使用する部分は、本資格の対象外です。ユーザは、電子認証用の認証証明書と電子署名用の署名証明書を使用するために、2つの異なるPINコードを持っています。このソリューションは、認証と署名に使用される秘密鍵について、RSAと楕円曲線の両方をサポートしています。

Chave Móvel Digitalまたは、itsmeについては、認証に使用する鍵がリモート環境に保管されるため、アプローチが異なる。この方式の安全性は、認証プロセスを開始する際にこれらの鍵にアクセスするためにモバイルデバイスで使用される認証メカニズムに強く依存し、特に認証メカニズムで使用されるあらゆる種類の秘密をデバイスがどのように保護するかに依存する。

itsmeでは、登録銀行(登録銀行はIDP)が管理する認証ソリューション、または国民IDカード(ベルギーではeID手段とも呼ばれる)を使って、登録が必要なスマートフォンアプリケーションをベースとしたソリューションが採用されています。認証の仕組みは、通知を受けた後、登録されたアプリケーションにPINコード(登録時に選択)を打ち込むことを要求しています。このPINは、スマートフォンがサポートするバイオメトリクス21要素(スマートフォンによっては指紋や顔認証)で置き換えることができる。

SPIDとNemIDも、ユーザーにモバイル・アプリケーションを提供している(これらの「マルチeID手段」スキームには、ハードウェア・トークンなどの他のソリューションもある)。モバイルアプリケーションは、SPIDのようにコピーするためのOTPを生成するために使用することもできますし、NemIDのように通知を受けてPINを入力した後に帯域外確認を行うこともできます。

1.4 eIDの進化の傾向と他の考慮事項

ここでは、モバイルベースの仕組みが増加していることが注目されています(1.4.1)。 モバイルデバイスは、Trusted Execution Environments、Secure Elements、eSIM、iSIM などの暗号モジュールをますます利用する傾向にあり、これらの暗号モジュールを利用する eID スキームは、セキュリティを向上させることができるとされています。

1.4.2は、 バイオメトリクス – マルチモーダルおよび行動認証への移行です。

バイオメトリクス認証は増加傾向にあり、2022 年までに 56 億台のモバイル・デバイスが 1 兆 3700 億件の取引の検証に使用されると予想されています。これらの取引は、スマートフォンに内蔵されたセンサーを活用することになります。単一のバイオメトリックモーダリティは、弱点があるために、マルチモーダルや行動認証が注目を集めています。しかしながら、CIR 2015/1502では、行動認証が認証要素として考えられていないこと、は留意すべきとされています。

マルチモーダルのバイオメトリックというのは、以下のようなものがあります。

複数のセンサー 1つのセンサーで複数のデータを取得するシステム バイオメトリック機能
複数のサンプル 1つの生体情報の特徴を複数のアルゴリズムで処理するシステム
複数形質 同一身体形質の複数回発生を集約したシステム
複数のインスタンス  同じ生体認証方式のテンプレートを複数使用するシステム(1つのセンサーで取得した異なる指の複数の指紋を、1つのセンサーで取得するのが例)
複数表現 個人生体情報の特徴に関する情報を組み合わせたシステム。

行動バイオメトリックスは、より、一般的になっていくであろうことが記載されています。

1.4.3は、民間企業の参加(巻き込み- involvement )です。民間企業が参加するようになってきていることが強調されています。金融機関、郵便局、通信事業者などは、従来から本人確認を実施していて、これらの組織は現在、その手順を活用して、検証済み ID に依存する他の組織にこのサービスを再販しています。イタリアの SPID、英国の GOV.UK Verify、ベルギーの FAS/itsme などが、民間部門の ID プロバイダの連合に基づくいくつかの ID スキームが、すでに eIDAS の下で通知されています。

プライバシーは、欧州連合体における強力な枠組であり、デジタルアイデンティティの問題にも影響していること、一度、認証がなされると、データの共有が問題なこと、その利用についてコントロールを有すること、必要な情報のみが共有されること、アイデンティティ証明は、一度だけなされるべきことなどが論じられています(1.4.4)。

また、自己主権アイデンティティと検証可能な主張という観点から、サービスを利用するのに本当に必要な情報のみを管理するという考え方が紹介されています。その場合には、もはや中央集権的な考え方は不要で、分散型のモデルとなり、ブロックチェーンがこのような考え方のモデルとなります(1.4.5)。

2 セキュリティの考慮事項

2.1 eIDセキュリティに関する文書・標準

そこでは、Cooperation Networkのガイダンス(Guidance for the application of the levels of assurance which support the eIDAS Regulation)が紹介されています。このガイダンスについてはあくまでガイダンスであるため、図解やセキュリティ上の配慮がなされていることに留意する必要があること、明示的な推奨や強制的な保護対策は提供していないこと、ある 保証レベルへの適合性を評価するための枠組みにはなっていないこと、などに留意すべきであるとしています。

それでも、この指針文書は非常に有益であり、協力ネットワークが採用する次のバージョンでは、eID ソリューション・プロバイダにさらに多くの例と指針を提供するために、より充実させる必要があります。いくつかの構成国は、国家レベルでの評価にも使用できるようなガイダンスフレームワークに取り組んでいます。ANSSI が作成した要件フレームワークは、ガイダンス文書と同じ構成になっていますが、国レベ ルで適用されるべき推奨事項や要件がより多く含まれています。

また、通知のガイダンス(2.1.1.1)やeIDの相互流用性枠組(2.1.1.2)が紹介されています。2.1.2では、その余の国際的・第三国の枠組として、2.1.2.1 ISO/IEC 29003:2018 – Identity proofing 、2.1.2.2 ISO/IEC 29115:2013 – Entity authentication assurance framework、2.1.2.3 NIST SP 800-63 – Digital Identity Guidelines 、2.1.2.4 CEN/TR 419010 – Framework for standardisation of signature – extended structure including electronic identification and authenticationが、ふれられています。NIST SP 800-63については、「電子署名法の数奇な運命」でもみておきました。

2.2 ピアレビューのフィードバックに基づくeIDソリューションのセキュリティ検討

eIDスキームとして通知がなされるためには、レビューがなされる必要がありますが、そのレビューにおいて、新たなモデルに対して検討がなされます。その際に問題になった事項について解説しようというのがこの項(2.2.1)になります。CIR2015/1502の構成に従ってみていきます。

登録

登録のための証拠書類を取り扱う人において、特に居住者ではないものを取り扱うことは、困難を伴うこと、がふれられています。また、ビデオベースの識別・顔認識についても検討がなされています。

具体的には、

  • デジタル銀行口座(ネオバンク口座とも呼ばれる)の開設では、銀行のオペレーターとビデオ通話を行い、カメラの前で身分証明書を提示し、申請者が身分証明書に記載されているとおりの人物であることを確認する。
  • 運転免許証をスキャンして登録するレンタカーのウェブサイトでは、顧客が運転免許証と一致することを確認するために、活性度検出による顔認識を実行する。
  • eIDAS の下で信託サービスの適格証明書を発行するために既に使用されているリモート識別プロセ ス。

これらのプロセスがより一般的になるにつれて、ID プロバイダによる eID 手段の発行前の ID 証明にも同じことが期待できます。

これは、イタリア(SPID)、オランダ(eHerkenning)または英国(GOV.UK Verify)などの一部の通知されたスキームではすでにそうなっています。

  • 保証レベル・実質に準拠しているかどうかを検証するために、いくつかの疑問や指摘が生じています。明らかな証拠なしに撮影された画像を操作することで、証明された攻撃が存在する可能性がある。このリスクは、信頼できない環境(例えば、ルート化またはジェイルブレイクされたスマートフォンや、ノートパソコン/デスクトップ上の信頼できないウェブカメラなど)であれば、より高まる可能性があります。
  • ビデオシミュレーションやリアルタイム再演など、ビデオ操作攻撃の急速な発展は、新たなリスクをもたらします。
  • 現在、どのようなセキュリティ対策や要件がLoA Highに準拠すべきかを特定することは複雑であり、そのため、これらの技術をLoAに照らして評価する際に専門家のコンセンサスが得られていないのが現状です。協力ネットワークの指導の下、進行中の関連作業により、これらの問題に対処することが期待されます。
  • 特に顔認証については、顔認証ソリューションのFARをeIDASのLoAに関連付けるガイドラインがないため、保証の評価が不明確であることが指摘されています(これは、公開されている英国のピアレビューで顕著に言及されています)。

ビデオ・ベースの識別の場合、ID 文書の真正性の検証および検証を担当する代理人による写真の利用も、関連する保証に関して問題を提起しています。

SPID eID スキームに関する意見書において、協力ネットワークは、イタリアが 保証レベル高のためにビデオ識別を削除することを考慮した意見を発表しています。上記のすべての例は、このようなソリューションの評価の複雑さと、それを評価するためのフレームワークの欠如を示しています。

偽の被験者、提示された偽造または偽の文書、ビデオの操作、エージェントによるユーザーの身元確認能力の欠如など、プロセスの各段階で攻撃ベクトルが使用される可能性があることを知り、いくつかのセキュリティ対策(活性度検出を利用、国家データベースに登録されている申請者に関連する画像を使用、 機械可読ゾーン(MRZ)または光学的セキュリティ機能(写真、フォントの種類、品質、ホログラム、ラミネートの完全性、スペルミス、印刷品質など)を使用、チップ(例:パスポート ICAO チップ)から抽出した写真)がすでに確認されています。

eIDAS 規則は遠隔認証を妨げないので、協力ネットワークは現在、このトピックに関するガイダンスを提供し、これらの技術を利用するソリューションの評価に役立つ標準化要件を検討する作業中です。また、適格証明書の発行などのトラストサービスにおいても、このテーマは大きな関心事であるため、すでに専門家の間で多くの議論がなされていることも注目に値します(すなわち、証明書の保有者の身元をどのように遠隔で確認することができるのか)。この分野では、より良いガイダンス、標準化、適合性評価の実践が大いに期待されています。

電子識別手段の管理および認証

SMSもしくは、電子メールによるワン・タイムパスワードは、種々の攻撃にさらされること(SS7脆弱性、マルウエア攻撃、SIM交換攻撃)がわかっています。もっとも、特定のユーザに対してすることは複雑であること、利用になじみやすいことなどから、どの程度利用できるかについては、議論の途上です。

eIDのモバイルベースのソリューションは、増加しており、通知されるものも増加している。この場合のセキュリティの考慮事項は、以下の秘密事項になる

  • モバイルデバイスに暗号化されたソフトウェア鍵ストレージに格納される
  • モバイルデバイスに内蔵されたセキュアエレメントやセキュアエンクレーブ(SE)などのハードウェア鍵ストレージに格納し、保存時および使用時の機密保護を提供するために、信頼できる実行環境(TEE)でのみ使用される
  • 携帯電話の SIM カードに暗号化チップとして格納される。

これらが問題になっているモデルとして、ラトビアのeParakstsスキームやベルギーのFAS/itsmeがあります。

バイオメトリックス(2.2.3.3)は、種々の懸念を発生しており、センサーのセキュリティは、ベンダに左右されること、認証プロセスにおいて、どのテンプレートが利用されるのか、選択されないという問題があり、保証レベル高においては、排除されています。

リモートハードウエアセキュリティモジュールに保存されている証明書へるアクセスを惹起するこめの他の認証ソリューションのための考慮事項(2.2.3.4)では、SMS、ソフトウエア/ハードウエアによるワン・タイムパスワード、仮想スマートカードがなどが検討されています。

eID手段において利用されているデバイスの証明書(2.2.3.5)においては、通知されたスキームについて、

  • コモンクライテリア認証が基本で、AVA_VAN.5で補強されたCC EAL4認証のデバイスが主流です。
  • eIDAS規制に基づくQSCD(適格署名作成デバイス)認証が行われることが多く、使用されるチップのセキュリティレベルを示すために使用される。そのため、すでに電子署名の目的で使用されている各国のeIDカードに基づいたeIDが広く普及しています。ただし、ローカルチップQSCDの認証範囲は、リモートQCSDの認証範囲と大きく異なることに注意が必要です。
  • 保護プロファイルも参照され、QSCD 認証のベースとして使用されること

などが検討されています。

管理および組織

eIDを発行するアイデンティティプロバイダーの証明書(2.2.4.1)においては、既に、ISO/IEC 27001:2013やETSI EN 319 401、ETSI EN 319 411-1 および ETSI EN 319 411-1、319 411-2.などがあることが論じられています。

3 サイバーセキュリティ法におけるENISAの機会(New Opportunities for ENISA Under the Cyber Security Act)

サイバーセキュリティ法は、正式には「ENISAおよび情報通信技術のサイバーセキュリティ認証に関する2019年4月17日の欧州議会および理事会の規則(EU)2019/881」をいい、そこでは、ENISAの役割は、

加盟国、ユニオン機関、団体、オフィスおよび機関がサイバーセキュリティを改善することを積極的に支援するなど、ユニオン全体で高い共通レベルのサイバーセキュリティを実現すること

と一致するものとされ、また、ENISAは、

ユニオンの機関、団体、オフィスおよび機関、ならびにその他の関連するユニオン関係者のために、サイバーセキュリティに関する助言および専門知識の参照先として行動する(第3条1項)

域内市場の断片化を回避する観点から、欧州のサイバーセキュリティ認証の利用を促進するものとする」(第4条(6))

とされている。

この役割をeIDの文脈でろんじているのがこの章ということになります。そこでは、

具体的に展開された役割およびそれらの解説は、以下のとおりです。

eIDの技術的要件とセキュリティ要件の発行に関する各国イニシアチブの調整

ENISAは、EU全域の各国所轄庁と協力して、eIDASの実質的保証レベルと高位保証レベルの技術的要件とセキュリティ要件に関するイニシアチブを特定し、意見を共有できるだろう。

技術開発の概要を提供し、通知されたスキームのセキュリティ・インシデントを報告する

ENISAは、通知されたスキームのセキュリティ・インシデントの報告において果たすべき役割を担っている。技術的進歩の概観を実施し、ENISAは加盟国間のベストプラクティスと脆弱性の交換を促進することが可能である。

eIDのセキュリティ・インシデントに関する年次報告書の発行

ENISAは、eIDの基盤技術の脅威状況の概要とともに、通知された電子ID方式に影響を与えたすべてのセキュリティ・インシデントを集約した年次報告書を発行することができるだろう。

構成国当局へのガイダンスの提供

ENISAは、eIDAS規則のCIR 2015/1502の要件の一貫した理解を確保するためのガイドラインと勧告を発行することができる。これらのガイドラインには、その定義をさらに詳しく説明するための保証レベル別のユースケースや、特定の技術やソリューションのコンプライアンスに関する推奨事項を含めることができます。

eIDASレビューに洞察をもたらす

ENISAは、2020年7月に予定されているeIDASのレビュープロセスに関与する予定である。そのため、ENISAはその技術的専門知識と洞察力をもって、規制がどのように目的に適合しているかを定義し、電子IDに関連する改善点を特定する必要があります。

---------------

付録は、「A その他のeIDスキーム」「B  eIDソリューションの技術的状況」です。

Aでは、具体的には、SMART-ID、スカンジナビア諸国における銀行IDがあげられています。

SMART-ID

Smart-IDは、現在、エストニア、ラトビア、リトアニアで利用されているeIDソリューションです。スマートフォンのモバイルアプリケーションをベースにしています。エンドユーザーの視点に立つと、その使い勝手はプッシュ認証のモバイルアプリケーションとよく似ています。ユーザーは、あるサービスにアクセスしようとしたり、取引を確認したりする際に、登録したアプリケーション上で通知を受け取り、PINコードを入力することで認証を実行することができます。ユーザーは、認証用と電子署名用の2つの別々のPINコードを持つことになります。

スカンジナビア諸国における銀行ID

スウェーデンやノルウェーでは、銀行がアイデンティティ・プロバイダーとなって、行政のWebサイトや民間のWebサイトにアクセスできる電子身分証明書スキームがあります。両方のスキームは BankID と呼ばれるが、異なる技術に基づいている。

スウェーデンの eID

スウェーデンの eID システムは、1999 年以降民間部門によって発行されている eID に依存する。 主なソリューションは BankID であり、2003 年から運用されている。この eID スキームは、11 の銀行のネットワークに基づいており、どの銀行が発行した かに関わらず、同じ価値と機能性を持っている。ログインや本人確認のほか、電子署名にも利用できる。 スウェーデンの社会保障番号を持つすべての個人は、銀行を通じてBankID e-credentialsを取得することができます。2019年、BankIDは約40億の機会で使用されたと推定されます。 BankIDは、物理的なスマートカード(BankID on a card)、スマートフォンやタブレット上のアプリケーション(mobile BankID)、コンピューターソフトウェア(BankID in a file)の3つの形態で提供されている。

ノルウェーの eId

Mobile BankIDは、ノルウェーの大手銀行であるDNB銀行と同国最大の携帯電話会社であるテレノール社の共同イニシアチブとして、2009年に開始されました。Mobile BankIDは、ユーザーの携帯電話を通じてオンラインサービス全般の認証と電子署名をサポートする、電子的な身分証明書スキームです。現在、ノルウェーの携帯電話事業者5社すべてがMobile BankIDを顧客に提供しており、市場を完全にカバーしています。ノルウェーのBankIDの加入者数は、合計400万人に達しています。モバイルBankIDはPKI技術を利用し、銀行が作成した証明書をSIMカードに保存する。PIN コードは、認証と検証のために使用されます。

B eIDソリューションの技術的な展望

eIDスキームの届出済み・未通知を含むすべてのeIDソリューションで使用されている基盤技術をクラスターに再グループ化することで構築されており、

  • カードおよびその他のハードウェア認証装置(接触および非接触スマートカードを含む)
  • モバイルベースのソリューション(OTP、暗号 SIM、モバイル接続を含む)
  • バイオメトリクス(指紋および顔認識を含む)
  • 将来的技術(自己主権アイデンティティや分析など)。

にわけて分析されています。詳細は省略します。

 

 

関連記事

  1. 脅威インテリジェンスサービスの利用とコンプライアンス(2)
  2. 経済安保2.0?-経済安保の担当役員設置、政府が主要企業に要請へ…
  3. 企業のためのサイバーセキュリティの法律実務
  4. 仮想通貨セッション@InternetWeek
  5. 武力紛争とテロリズム(Armed conflict and te…
  6. マイク・シュミット教授のニュージーランドのサイバーセキュリティ政…
  7. 「ダークパターン」の法的問題-ネットのワナをどう規制するのか?
  8. アメリカ・インディアナ州最高裁判決-ランサムウエアへの支払いと保…
PAGE TOP