• 東京都品川区西五反田2-13-6 セラヴィ五反田ビル7階
  • 03-6417-9411
    (平日10時~18時)

バイオメトリック照合製品のセキュリティ評価 後編

※前編はこちらをご覧ください。

II. CC評価に対する取り組み

現在に至るまで、バイオメトリック照合製品のセキュリティ評価へのさまざまな取組みが成されて来た。 前回と今回の2回にわたり、それらの取組みと現状を報告する。 2回目の今回は、バイオメトリック照合製品のCC評価に関する、海外・国内の様々な取り組みを報告する。

1. 各国の取組みとISO/IEC 19792

バイオメトリクス分野で最初にPP作成に取り組んだのは英国である。 2001年時点のドラフトが現在でもインターネット上で参照できるが、未完に終わった。
2007年には米国で、U.S. Government Biometric Verification Mode Protection ProfileがBasic Robustness EnvironmentとMedium Robustness Environmentに対して、それぞれ作成された。 ただし、これらは2010年に失効している。 このふたつのPPでは、CC第2部の不足を補って、バイオメトリック製品のセキュリティ機能要件の拡張を試みた。 この拡張に問題があったことが失効の原因と筆者は考える。
CEMを補完する試みも、2001年にカナダで、2002年にCCRAでなされた (Biometric Evaluation Methodology Supplement、BEM)。 前者はどういうものだったか不明である。 後者は、誤受入や誤拒否などのバイオメトリック性能は扱っているが、偽造物などを使った提示型攻撃の検知を扱っていない。

バイオメトリクスのCC評価を方向付けたのは、2009年に国際標準化されたISO/IEC 19792 Security evaluation of biometricsである。 CCだけでは、バイオメトリック製品は評価できない。 加えて、バイオメトリック性能、提示型攻撃検知、プライバシーを考慮しなければならないとし、CCの考え方に沿って、評価の枠組みを示した (ISO/IEC 19792の編集者はドイツが担当したが、副編集者だった三村昌弘氏の功績が非常に大きい。 2009年時点でこの内容が書けたことを著名な研究者が称賛していたと、筆者は最近編集者から直接聞いた)。
2008年にひとつ、2009年に提示型攻撃検知を対象としたふたつのPPがドイツで作成された。 これらは、それ以前のPPに比べると、よく整理された内容になっている。 ISO/IEC 19792の編集者がこれらのPPの作成に関わっており、両者の作成に好循環が生まれたのだろう。
更にEUで2012年から4年間、ISO/IEC 19792に基づくCC評価を目指して、Biometric Evaluation And Technology (BEAT) プロジェクトが実施された。 バイオメトリック性能、提示型攻撃検知のそれぞれの評価について、新しい取組みがなされた。

2. 日本の取組み

2014年度から3年間、各方面の協力を得て、経済産業省の戦略的国際標準化加速事業 (国際標準共同研究開発・普及基盤構築事業) を実施した。 この事業の内容は、ISO/IEC 19792に基づくPPの作成、このPPに適合した製品のCC評価を可能にすることだった。
PPにおいてはセキュリティ機能要件の拡張が必要になり、その結果としてCEMの補完も必要になる。 これらを整備するだけでなく、実際の製品でCC評価を試行することも含めて、事業を実施した。 ただし、全てのモダリティを対象とすることは時間的に無理なので、日本が世界をリードする静脈製品を対象とした。
作成したPPは、「バイオメトリック照合製品プロテクションプロファイル」として、2016年3月に認証された。 本PPは、ドイツのPPを参考にしつつも、バイオメトリック性能と提示型攻撃検知の両方のセキュリティ機能要件を持ち、照合だけでなく登録も対象とした。 これらの点は他国に先駆けた成果である。また、本PPは、できる限り広く製品に適用できることを考慮して、検討に参加した各社の製品に適用できることを確認しつつ作成した。 CEMの補完も、BEATプロジェクトの成果などを参考にして、実施した。
ISO/IEC 19792ではプライバシーもバイオメトリクス固有の考慮が必要としているが、実際にはISO/IEC 15409の第2部にあるセキュリティ機能要件に不足はなく、上記PPにはプライバシーの拡張要件はない。

3. 国際の取組み

上述のとおり、日本のPP及びCEM補完は、ドイツやEUの成果を基礎として成り立った。 次のステップは、日本の成果を世界に還元することである。 そのための活動として、SC 27での活動とCCRAでの活動がある。

SC 27では、3部から成るISO/IEC 19989 Criteria and methodology for security evaluation of biometric systemsを開発中である。 2014年に日本提案によってプロジェクトは成立したが、2度の分割を経て、現在は、第1部が枠組み、第2部がバイオメトリック性能、第3部が提示型攻撃検知の構成となっている。 本プロジェクトには、ドイツやBEATプロジェクトの成果だけではなく、日本のPPの拡張セキュリティ機能要件が第1部に反映されている。 経済産業省事業の成果であるバイオメトリック性能評価方法も第2部に提案予定である。

CCの本家であるCCRAでは、バイオメトリック照合製品を対象とするiTC (international Technical Community) がIPAのリーダーシップで2016年に立ち上がり、CCRAにおける共通のPPであるcPP (collaborative PP) の開発が始まった。 可能な限り一般的なcPPを目指していたが、参加するスマートフォンベンダからのモバイル機器向けバイオメトリック照合製品のcPPが早期に必要との要求を受け、モバイル機器向けバイオメトリック照合製品のcPPの早期完成を目指すことに方針転換した。

いずれの活動でも、参加者の合意内容が最終成果になる。 それは日本の成果のままとは限らない。 しかし、日本の成果は経済産業省事業で多くの方に考えていただいた成果なので、できる限り国際の成果に反映されるように活動する。 そして、バイオメトリック照合製品のCC評価が普及するよう、今後とも尽力して行きたい。


本記事の著者

山田 朝彦
産業技術総合研究所
情報技術研究部門 招聘研究員
2017年10月05日
関連記事

静脈認証で安全・便利な社会を実現