設計運用のための標準

の項目について触れている。

セキュリティターゲット(ST) 及びプロテクションプロファイル(PP) の 評価

•

•

•

•

•

•

•

•

•

•

EAL (Evaluation Assurance Level) 要求 BioAPI、CBEFF、X9.84準拠要求

ユーザー・管理者に対するドキュメントの整備要求 テスト結果の明示要求

脆弱性の明示要求

第3章はTesting and Analysis で、テストと分析時に考慮すべき以下の事項 について記述されている。

環境のテスト

FARに基づく機能強度評価 統計的性能テスト

脆弱性のテスト

X9.84 は、銀行の顧客及び従業員の識別と認証を目的とするバイオメトリク ス認証技術を利用する際の、バイオメトリクス情報の管理方法やセキュリティ の要求事項を明確にし、要求を満たすための技術を規定している。尚、登録者 のプライバシー問題の対策やバイオメトリクス情報の帰属先については規定し ていない。

バイオメトリクス情報のライフサイクル¹⁸は、初期登録、伝送、格納、運用 (1対1認証、1対N認証)、更新、廃棄の各ステージから構成される(図 3-57)。 そして、ステージ毎に要求される管理方法やセキュリティの条件は異なる。

X9.84で記述された要求事項をまとめ、表 3-23に示す。

X9.84では、各ステージ共通で要求されている3つの条件を満たすために、

ASN.1を利用してデータフォーマットを定義している。図 3-59に示すように、

4つのモード(プロテクトなし、完全性保証、暗号化、完全性保証＋暗号化)があ る。このデータフォーマットは、リエゾン関係にあるCBEFFと互換性を保持 している。図 3-59の4つのモードのうち、実際にX9.84の要求を満たすため には、図 3-59の(b)又は(d)によって、完全性が保証されたフォーマットの利用 が求められる。

これらの要求事項を満たすため、暗号機構や物理的プロテクト機構の技術を 利用し、これらの技術についても要求項目がある（表 3-24）。

運用 格納

初期登録

1対1認証

1対N認証

再登録 更新

バックアップ 廃棄

トークン データベース

：伝送

図  3‑ 57  バイオメトリクス情報のライフサイクル 

18 登録によりバイオメトリクスデータが作成されてから最終的にデータが処分されるまでの過程のこと。

表  3‑ 23    X9. 84 の要求事項 

対象

No. 要求事項 種別

初期登録 再登録 １対１認証 １対Ｎ認証 伝送 データベース トークン 廃棄 バックアップ コンプライアンス

1 バイオメトリクスデータと認証結果の完全性を保持するための機構があること 必須 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 2 バイオメトリクスデータと認証を行う送信側と受信側で、相互認証するための機構があること 必須 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 3 伝送中のバイオメトリクスデータの機密性を保証するための機構があること 選択 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 4 登録処理従事者の権限を保証するための機構・手続きがあること 必須 ○ ○

5 登録者の正当性を保証するための機構・手続きがあること 必須 ○ ○ 6 登録者とバイオメトリクスデータの対応付けを保証するための機構・手続きがあること 必須 ○ ○

7

各処理部は、アプリケーションシステムにおける最低限のセキュリティレベルを満たしている こと。管理下にある環境で物理的なセキュリティ要件のレベル2、管理下にない環境で少なく とも物理的なセキュリティ要件のレベル3と同等かそれ以上であること

必須 ○ ○

8

バイオメトリクスデータの完全性と真正性がライフサイクルを通じて維持されること。テンプ レートの発行日付は取得され、その完全性はライフサイクルを通じて維持されること

必須 ○ ○

FMR 0.01%以下 (4桁の暗証番号を用いた認証方式の場合、FMRが0.01%程度) 必須 9

FMR 0.001%以下 推奨

○ ○ ○ 10 FNMRとEERは、業務に支障がないように熟慮の上設定すること 必須 ○ ○ ○ 11 バイオメトリクス認証技術間の認証精度の違いを十分に検討すること 考慮 ○ ○ ○

12

バイオメトリクスを単体で使用する場合、マルチバイオメトリクスや複数の手段で認証する場 合と比較して、より低いFMR(0.0001%程度)となること

推奨 ○ ○ ○

13

1対1認証よりも高い精度を保証するために (特に大規模なデータベースを使用する場合)

・質のよいデータを得られる、より高質なセンサーを利用すること

・より高いしきい値を設定すること

選択 ○ ○

14

格納されたバイオメトリクスデータへの権限のないアクセスを抑止するために、アクセスコン トロール機構を持つこと

必須 ○ ○ ○

15 バイオメトリクスデータの有効期間を設定し、廃棄する機構をもつこと 選択 ○

16 ログを残すこと 選択 ○

17 バイオメトリクスシステムの本規格へのコンプライアンスが(法律的に)有効であること 推奨 ○ 18 Biometric Validation Control Objectivesがコンプライアンス処理において使われること 推奨 ○

19 Event Journal(ログ)が批准資料の取得において使われること 推奨 ○