セキュリティ評価 - 導入のための標準 - バイオメトリクス認証

3 認証技術の標準化動向

3.6. バイオメトリクス認証

3.6.3 導入のための標準

3.6.3.2 セキュリティ評価

本節では、セキュリティ評価として、ISO15408 コモンクライテリア (CC:

Common Criteria) 及びプロテクションプロファイル (PP: Protection Profile) に関する動向を紹介する。

近年、バイオメトリクス認証装置をセキュリティシステムの一つとして捉える機運が高まり、国際的情報セキュリティ評価基準であるCCに基づいたPP を策定する動きがある。その代表的なものが、英政府バイオメトリクスワーキンググループの策定したBDPP (Biometrics Device Protection Profile) [122]

である。米国防総省 (DoD: Department of Defense) はBDPPを基にして Biometric System Protection Profile for Medium Robustness Environments (以下、本報告書ではBSPPと記す) なるDoDに特化した環境での使用を想定したPP [123] を策定中である。DoDはこれとは別にBiometric Verification Mode Protection Profile for Medium Robustness Environment [124] なるPP (以下、本報告書ではBVMPP) も策定中である。

16 2002年10月から検討が開始されている。

17 詳細は異なるが、多くの部分でBest Practiceに準拠していることが明記されている。

一方、CCに基づいて実施されるセキュリティ評価の方法論としてCEM (Common Criteria Common Evaluation Methodology)[125] があるが、これは一般的なITセキュリティ製品をターゲットとしており、バイオメトリクス製品固有のセキュリティ評価方法が望まれていた。Biometric Evaluation Methodology Working Group は、カナダEWA (Electronic Warfare Associates) の原案を基にして、CEMの補完文書としてBEM (Biometric Evaluation Methodology Supplement) [121] を策定中である。

なお、何れのドキュメントも現状ドラフト段階である。

(a) Biometric Device Protection Profile (BDPP)[122]

策定経緯英国では Office of the e-Envoy (OeE) という電子取引の枠組みの浸透を推進しており、これにバイオメトリクスによる認証技術を取り入れたい意向である。本PPは、英CESG/BWG（Communication-Electronics Security Group、Biometric Working Group）により策定が進められ、バイオメトリクス関連のプロテクションプロファイルとしては最も有名なものの一つである。

概要

以下の特徴をもつ。

TOE (Target of Evaluation) の範囲にキーボート等のPIN入力デバイスが含まれている (図 3-41 参照)。

•

使用環境を特定化しない、一般的な記述になっている。

評価保証レベルも EAL1+から EAL4 までレベルを認めており、ST (Security Target) で保証レベルを特に明記することにより、本 PP への適合を謳ってよいことになっている。

図 3‑ 41 BDPP における TOE の構成 ( [ 122] より)

(b) Biometric System Protection Profile for Medium Robustness Environments[123]

策定経緯 DoD (Department of Defense) では、BDPPを基にして、DoD及び連邦政府関係機関における中程度のロバスト (medium robustness) 環境での使用を想定したバイオメトリクス製品用のPPを2002年3月にドラフト Ver.0.02を発表した。

概要

以下の特徴がある。

DoD及び連邦政府関係機関の中程度のロバスト環境に特化したPPである。

•

• TOE に、BDPPでは記述のあったID番号指定が無くなっている (図 3-41 及び図 3-42 参照)。

品質保証要求として、EAL4+を要求している。

•

暗号を機能要件としている。テンプレートは暗号化されて保存されなければならない。

具体的な推奨暗号化手法が明記されている。

具体的なFAR要求が明記されている (0.01%以下)。

図 3‑ 42 BSPP における TOE の構成 ( [ 123] より)

策定経緯上記BSPPとの関係は不明であるが、DoDは2002年12月にド

ラフトVer.0.5を発表した。参考文献にBSPPが挙げられていないこと、及

び、両文書を照らし合わせた結果から、特にBSPPを基に作られたものではなく、新規に作られたものと推察される。さらに、本文中では、この文書に付随して

PP for Verification mode Basic Robustness (未発表)

•

PP for Identification mode Medium Robustness (未発表) PP for Identification mode Basic Robustness (未発表) も作成中であることが明記されている。

概要

BSPPと比較して、以下の特徴がある。

バイオメトリクス情報の格納場所が TOE の範囲から外されている (図 3-42及び図 3-53参照)。

ロバスト環境 (Robustness Environment) の具体的な記述がなされた。これ

によれば、TOEにより保護されるものの価値とTOEにアクセスする最も信頼度の低いものがどれだけの権限を有するかの組み合わせで決まる (図 3-55 参照)。

•

暗号化に関して、バイオメトリクスデータにデジタル署名を要求。データの完全性を保証する。

FAR、FRRの制御に関するより詳細な記述。FARはST作成者の指定する最低率から最高1/100,000 までが指定できなければならない。FRRに関しては、ST 作成者の指定する最低率から最高 5/100 まで設定できなければならない。

図 3‑ 53 BVMPP における TOE の構成 ( [ 124] より)

図 3‑ 55 BVMPP におけるロバスト環境の概念説明図( [ 124] より) (d) BEM (Biometric Evaluation Methodology Supplement) [121]

策定経緯 2001年にカナダのEWA (Electronic Warfare Associates Canada,

Ltd.) が、CCに基づいたバイオメトリクス製品評価における適切なセキュリテ

ィ機能と品質保証要求を明らかにするためのレポートを発表した[120] 。 2002年にはEWAに、オーストラリア、ニュージーランド、米、カナダ、独、

英、フィンランドの団体を加えた The Biometric Evaluation Methodology Working Group が、このドキュメントを基に BEM (Biometric Evaluation Methodology Supplement) を、CCの姉妹書であるCEM (Common Criteria Common Evaluation Methodology) [125] の補完文書という位置付けで発表

した。Version1.0となっているが、本文中でドラフトバージョンであることが

明記されている。

概要

本ドキュメントは、主にバイオメトリクス技術評価者若しくは ITSEFs (IT Security Evaluation Facilities) を読者として想定している。バイオメトリクスシステム及び製品を評価するのに必要な品質保証要求に適用できる評価方法論を確立することを目的とする。

第1章では背景、目的、ドキュメントの構成、一般的なバイオメトリクスシステムについて記述している。

第2章は Assurance Requirements and Evaluation Methodology で、以下

の項目について触れている。

セキュリティターゲット(ST) 及びプロテクションプロファイル(PP) の評価

•

EAL (Evaluation Assurance Level) 要求 BioAPI、CBEFF、X9.84準拠要求

ユーザー・管理者に対するドキュメントの整備要求テスト結果の明示要求

脆弱性の明示要求

第3章はTesting and Analysis で、テストと分析時に考慮すべき以下の事項について記述されている。

環境のテスト

FARに基づく機能強度評価統計的性能テスト

脆弱性のテスト

ドキュメント内「本人認証の現状に関する調査報告書」 (ページ 191-197)