バイオメトリック認証システム : 4.脆弱性の解消に向けた最新対策技術の動向 3.セキュアシステム構築技術
4
0
0
全文
(2) 特集 バイオメトリック認証システム ISO/IEC 27000 シリーズによる情報セキュリティ 管理システム評価基準(運用評価). 物理的環境. 人的環境. ITセキュリティシステム 業務処理 モジュール. ISO/IEC 15408 による IT セキュリティ 評価基準 (機能評価). 暗号 モジュール. ネットワーク等. データベース等. 管理者. 利用者. 図-1 ISO/IEC 15408とISO/IEC 27000シリーズの関係. 製品やシステムのライフサイクルを通じて,セキュリティの観点で信頼で きるものかを評価する基準である. きるものかを評価する基準である。 ・ 完成品のセキュリティホール等を評価するだけのものではない. ・ISO 9000や ISO 14000 のように組織を評価するための基準ではなく, 製品やシステムを評価対象としている. ・ 評価対象は設計者が自由に定義可能(ただし,暗号アルゴリズム に関しては評価対象外).. 要件定義. 設計. 製造. 試験. 運用 保全. ライフサイクルを通じた成果物を評価対象とする.. 図-2 ISO/IEC 15408とは. まず,バイオメトリック認証特有の考慮すべき点と. ク認証におけるFARと,暗証番号におけるなりすまし成. して,認証精度が100%ではないという特性がある.バ. 功率は,数値が同じであった場合にはセキュリティ強度. イオメトリック認証はパスワード認証などの方式と違い. は同じといえるであろうか? 答えは否である.なぜな. FAR(他人受入率:False Accept Rate)やFRR(本人. ら,暗証番号であれば任意に数字を入力することができ. 拒否率:False Rejection Rate)といった認証精度に起. るが,バイオメトリック認証においては,入力可能な特. 因して一定確率で誤認識が発生するため,いくら完璧な. 徴および数が制限されてしまうので(例:指紋であれば. セキュリティを確保していても誤認識の脅威が発生する. 攻撃者の持つ指紋に限られ,数は1人あたり最大10本と. ことは避けられない.. なる) ,なりすまし成功率が数値上同じであったとして. それでは,この特性は他の認証方式にはないかという. も,バイオメトリック認証の方がセキュリティ強度が高. と他人受入に関してはそうともいえない.たとえば4桁. いと考えられるからである.このようなバイオメトリッ. の暗証番号による認証では理論上1/10,000の一定確率. ク認証の精度とセキュリティ強度の関係については,現. でなりすますことが可能である.では,バイオメトリッ. 在研究段階であり,明確な定義はされていない.その. 610. 47 巻 6 号 情報処理 2006 年 6 月.
(3) 4:脆弱性の解消に向けた最新対策技術の動向 3. セキュアシステム構築技術. ため,適用する業務によって個別の判断をせざるを得ず,. 運用設計について記述する.. 評価者も評価が非常に困難である. 以上のことから,ISO/IEC 15408に基づいてセキュ リティ設計・評価を行う際には,認証精度に起因する他. セキュリティ運用設計. 人受入は脅威とはせず,その他の脅威(人工指などによ. ■ISO/IEC 27000シリーズとは. るなりすましなど)への対策に注力すべきであると考え. 英国規格協会(BSI)が制定したBS7799が原案となっ. る(これは暗号製品における暗号アルゴリズム評価と類. ており,情報セキュリティ管理に関する国際的に認知さ. 似しており,ISO/IEC 15408では暗号アルゴリズム評. れている規格である(なお,管理する対象が電子的情報. 価は対象外としている) .ただし,認証精度向上のため. だけでなく,紙などの情報も含まれるため,ITセキュリ. の施策は別途実施することが必要である.. ティと区別し情報セキュリティと表記する).ISO/IEC. 次にシステムとして認証を受けることを目的とした場. 17799(今後ISO/IEC 27002と変更される予定であり,. 合には,検討方法に工夫が必要であり,通常は以下に述. 組織における情報の価値と脅威,脆弱性をマネジメント. べる2つの手法をとることが多い. 1つ目は,システム全体のセキュリティを一度に考え. するための管理策の基準を定義)と,ISO/IEC 27001 (運用審査用規格を定義) から構成されている(図-3参照).. るのではなく,まずシステム構成要素ごとにそれぞれ個 別で検討を行った後でシステム全体へと検討範囲を広げ. ■ISO/IEC 27000シリーズの適用. るという手法である.たとえば,ICカードを使った本. バイオメトリック認証システムの運用を設計する際に,. 人認証システムであれば,ICカードの部分とそれ以外. ISO/IEC 27000シリーズを適用する場合,ISO/IEC. の部分に分けて検討することになる.ここで,ICカード. 15408と同様にバイオメトリック認証特有の認証精度. 単体に関してはISO/IEC 15408の認証を取得した製品. の扱いと,システム全体としての網羅性の確保に工夫が. は数多く存在するので,認証を受けたICカードを使用. 必要である.. する場合はICカード部分の検討を省くことができ,IC. まず認証精度に関してであるが,バイオメトリック認. カード以外の部分に注力してセキュリティ設計を行える.. 証では周辺環境の状態によって認証精度が大きく変化す. この手法の利点としては,検討範囲を絞ることによる検. るものが多い.認証精度はセキュリティ強度に多大な影. 討漏れの防止と,認証範囲を段階的に広げられることに. 響があるため,精度を落とさないような運用が必要であ. よる認証の取得しやすさが挙げられる.これをバイオメ. るが,これらはセキュリティ確保のための運用とは実施. トリック認証システムに置き換えると,まずセンサ単体. 内容が大きく異なる.したがって,ISO/IEC 27000シ. や認証ソフトウェア部などのモジュール単位で検討を行. リーズを適用してセキュリティ運用の設計・評価を行う. い,その後それらを組み合わせた際に新たに生じる部分. 際にも,認証精度向上に関しては対象外とし,人工指を. (通信部分など)に関して検討を行うことになる.. 使った攻撃やセンサへの残留物の利用などを阻止するこ. 次に2つ目であるが,バイオメトリック認証システム. とを目的とした対策(利用環境の監視,装置の定期的メ. の利用シーンごとに分けてセキュリティを検討する手法. ンテナンス,教育等)に注力すべきである.. である.バイオメトリック認証技術を使用して本人認証. 次にシステム全体としての対策の網羅性の確保である. を行うには必ず事前に生体データ (指紋情報など) をシス. が,ISO/IEC 15408の適用の節でも述べたが,登録時. テムに登録する作業が生じる.この登録作業では本人認. と本人認証時に利用シーンを分けて考え,それぞれの利. 証を行う際とは関連する人物も周辺環境も攻撃の目的も. 用シーンにおいて最適な運用を検討する方法を推奨する.. 違うので,それぞれのシーンで起こり得るセキュリティ. 登録時には,生体データを登録しようとしている利用者. 脅威や脆弱性は異なる.したがって,登録時と本人認証. が真に本人であるかどうかや,その人を利用者として登. 時でシーンを分けてセキュリティを検討する手法が有効. 録してよいかどうかを正確に判断する必要がある.また,. である.この手法の利点としては,登録用システムと認. 本人認証時には不正な操作による 「なりすまし」 を行えな. 証用システムをまとめて1つのバイオメトリック認証シ. いようにする必要がある.これらはITシステムではなく. ステムと考えるよりも,脅威と対策の対応を明確にする. 人の手による運用が最も重要となる.また,運用におい. ことができ,それぞれのシーンにおいて対策の網羅性を. ては,バイオメトリック認証システムに特化した脅威だ. 保つことが容易になることが挙げられる.. けでなく,認証システムに共通な脅威(例:権限を持つ. 以上,ITセキュリティ機能設計におけるバイオメトリ. 者が権限を持たない者の代わりに認証を行う共連れ攻撃. ック認証の特性の扱いとシステムとして認証を受ける場. など)への対策も検討することが必要である.これらは. 合の推奨策について説明したが,次章ではセキュリティ. 利用シーンによって大きく異なるので,シーンに分けて IPSJ Magazine Vol.47 No.6 June 2006. 611.
(4) 特集 バイオメトリック認証システム. 情報セキュリティマネジ メント実践のための要 件集.これまでのベス トプラクティスをまとめ たもの.. BS7799-1:1999 Part1 :情報セキュリティ 管理実施基準. 英国. 文書化されたISMS の 確立,導入,運用,監 視,見直し,維持およ び 改善に関する要求事 項を規定. 具体的対策としては Part1 で挙げられてい る管理策から選択す ることになっている.. BS7799-2:2002 Part2 :情報セキュリティ マネジメントシステム 使用および利用の手引き. ISO/IEC 17799:2000. 国際. ISO/IEC 27001:2005. 日本. JIS Q 27001:2006(仮称) ( ISMS 認証基準). ISO/IEC 17799:2005 2007年に 27002に改名を予定. JIS X 5080:2002. 移行. 2002年2月に JIS 化済み. JIS Q 27002:2006 2006年5月に JIS 化の予定. 2006年5月に JIS 化の予定. 移行. ISMS ver2.0 2003年4月に基準策定済み. 図-3 ISO/IEC 27000シリーズとは. 検討すべきである.. のないセキュリティ対策の検討が可能となる.. 以上,セキュリティ運用設計におけるバイオメトリッ. 以上,バイオメトリック認証システムにおけるITセキ. ク認証の特性の扱いとシステム全体の網羅性の確保のた. ュリティ機能とセキュリティ運用の設計手法について,. めの推奨策について説明したが,次章ではITセキュリテ. 国際標準を適用する場合のポイントや推奨策について記. ィ機能とセキュリティ運用の組合せに関する注意点につ. 述してきた.ただしこれらはまだ基本的事項であり,実. いて記述する.. 際にはほかにもさまざまな課題を解決しなければなら ない.それらの詳細については平成17年度経済産業省. システム全体でのセキュリティ確保. 基準認証事業 における取り組みなどを参考にされたい.. ISO/IEC 15408およびISO/IEC 27000シリーズで. となれば幸いである.. は,それぞれITセキュリティ機能およびセキュリティ運 用の片方のみを設計・評価することになるので,システ ム全体のセキュリティを確保するには,それらを組み合 わせてセキュリティを検討することになる.ISO/IEC 15408とISO/IEC 27000シリーズでは最初に検討範囲 や守るべき資産,想定される脅威を分析するが,これら の前提に相違点がある場合,ITセキュリティ機能とセキ ュリティ運用のそれぞれ単体の視点ではセキュリティが 保たれていたとしても,前提で異なる部分が脆弱な部分 となり,システム全体でのセキュリティが保てなくなる. したがって,セキュリティ設計を行う際には,ITセキュ リティ機能設計とセキュリティ運用設計の間で前提条件 などの整合性を維持することが非常に重要である. また,全体を意識しながら検討することによって,IT 機能で対策をとれない (とらない) 脅威に対しては運用で しっかりカバーするなど,費用対効果を考慮しつつ漏れ. 612. 47 巻 6 号 情報処理 2006 年 6 月. 1). 本稿が,読者にとってセキュリティ設計を行う際の一助. 参考文献 1)(財)ニューメディア開発協会:平成16年度経済産業省 産業技術研究 開発委託事業−1 生体情報による個人識別技術(バイオメトリクス)を 利用した社会基盤構築に関する標準化,平成16年度経済産業省委託事 業成果,5章(Mar. 2005). (平成18年4月28日受付).
(5)
関連したドキュメント
Oracle WebLogic Server の脆弱性 CVE-2019-2725 に関する注 意喚起 ISC BIND 9 に対する複数の脆弱性に関する注意喚起 Confluence Server および Confluence
はじめに
技術士のCPD 活動の実績に関しては、これまでもAPEC
当面の間 (メタネーション等の技術の実用化が期待される2030年頃まで) は、本制度において
The B OTDR (Brillouin Optical Time Domain Re‰ectometry) method is applicable to the measurement of strains on the order of 10 -4 m and has been employed for measuring
絶えざる技術革新と急激に進んだ流通革命は、私たちの生活の利便性
点検方法を策定するにあたり、原子力発電所耐震設計技術指針における機
当面の施策としては、最新のICT技術の導入による設備保全の高度化、生産性倍増に向けたカイゼン活動の全
