成果報告書アイデンティティ管理技術標準化調査研究

(1)

競輪補助事業

平成２１年度個人化情報の活用と管理技術の標準化調査研究補助事業

アイデンティティ管理技術標準化調査研究成果報告書

平成２２年３月

財団法人日本規格協会

情報技術標準化研究センター

(2)

この調査研究は，財団法人ＪＫＡからの補助金で実施したものの成果である。

(3)

(i) 目次

序··· 1

1. 調査研究の概要··· 2

1.1 はじめに··· 2

1.2 目的··· 4

1.3 委員会構成とテーマ··· 4

1.4 委員会名簿··· 4

1.5 委員会実施状況··· 6

1.6 成果一覧

··· 6

2. 委員会活動報告··· 7

2.1 背景と目的

··· 7

2.2 活動内容

··· 7

2.3 成果··· 7

2.4 今後の課題

··· 7

3. WG１の活動報告··· 8

3.1 背景と目的

··· 8

3.2 活動内容

··· 8

3.3 成果··· 46

3.4 今後の課題

··· 46

4. WG２の活動報告··· 47

4.1 背景と目的

··· 47

4.2 活動内容

··· 49

4.3 成果··· 78

4.4 今後の課題

··· 79

5. 今後の展望と課題

··· 80

6. 附属資料···81 6.1 各国の公的認証制度

6.2 競争力強化のキーとなるアイデンティティ基盤の整備 6.3 クラウドコンピューティングとアイデンティティ

(4)

(ii) 序文

情報通信技術の発達により、情報端末が生活空間の様々な場面に展開されるようになった。その結果、公的サービスを含む様々な情報提供サービスが提供され、又は企画されるようになっている。

IT 技術を使った情報サービスを受けるには、サービス利用者はサービス提供システムに対して、暗証番号(PIN)／パスワードなどの認証情報を提示する。利用者認証はサービス毎に必要な手続きではあるが、サービスが質量ともに豊富になると共に、認証情報の維持管理にかかる負担が問題として意識されるようになってきた。認証情報がサービス毎に異なる場合、サービス利用者は多種多様な認証情報を所有し、これらを誤りなく使い分けなければならない。同時にサービス提供者は、サービス利用者の認証情報を、登録から運用を経て削除されるまでの期間、誤りなく管理しなければならない。アイデンティティ管理は、情報サービス間で認証機能を共有するための仕組みを提供する技術であり、サービス利用者は、認証情報を共有する複数の情報サービスを一回のサインオン（認証）で利用できる。

INSTAC では、アイデンティティ管理の分野で日本工業規格(JIS)化又は国際規格(IS)化すべき項目を抽出することを目標とする調査研究を、平成 19 年度から実施している。標準化動向と利用場面との双方から、

調査分析を行い、JIS の趣旨にそって、日本国内で統一されることにより、アイデンティティ管理技術及び情報サービスの普及並びに公共の福祉の増進に繋がる要素¹⁾を抽出することを目標とした。

注 1) 工業標準化法第一条及び第二条参照。

平成 19 年度には IdM の分野を全体的に対象として、標準化要素としてアイデンティティ(ID)の連携技術を抽出した。

平成 20 年度は、アイデンティティ連携技術の標準化動向の分析をとおして、標準化要素として「アイデンティティ（認証及び属性情報交換）の確かさ」を保証する技術を抽出した。

本年度は、アイデンティティの確かさを保証する規格を JIS 化することを目標として、リバティアライアンスによって策定が進められている IAF (Identity Assurance Framework)規格を選び詳細を調査した。また、サービス提供システムがクラウドコンピューティング環境にある場合を考慮した ID 連携の利用場面を検討した。

IAF にはアイデンティティの確かさを保証するために、技術に関わる要件と社会の仕組みに関わる要件とが規定されている。今後アイデンティティの確かさを保証する JIS の策定に当たっては、技術的な要件に対応するとともに、社会の仕組みに関わる要件に対応することが必要となる。

(5)

1 1. 調査研究の概要

1.1 はじめに

1.1.1 アイデンティティとアイデンティティ管理

IT

技術の発達により、各種の情報サービスが提供されるようになった。最近では誰もが一日の生活時間のかなりの部分でIT技術を利用している。

IT 技術による情報サービスを受けるに当たって、サービス利用者はサービス提供者に対し、まず自身の身元を通知する。これには、アカウントとパスワードの提示、（電子的）身分証明書の提示など、様々な方法がある。情報サービスが普及しはじめた初期の頃には、サービス利用者はそれぞれのサービス提供者に、個別に身元情報を登録し、サービス提供者が指定する方法で身元の通知を行なっていた。

図 1.1.1-1－サービス利用者とサービス提供者

提供されるサービスの数が増えると共に、それぞれのサービス提供者に正しく認証を受けるために要求される、サービス利用者の負担の重さが認識されるようになった。図 1.1.1-1 でサービス利用者は、利用しているサービス提供者ｎ社に対して、それぞれの方法で認証を求めることになる。

セキュリティ上の配慮から定期的に認証方法（パスワードなど）は変更が薦められることもあり、

認証情報の管理はｎが増えると共に煩雑なものとなる。同時にサービス提供者にとっても、同じ部門に複数のサービス提供者があってサービス利用者に重複がある場合など、サービス利用者情報のすべてを誤りなく管理する負荷の重さが認識されるようになった。

アイデンティティ管理 (IdM)はこの身元情報管理に関わる問題を解決する手段として考案され、

研究・開発が進められてきた。状況を単純化して言えば、アイデンティティ管理 (IdM)とは、複数のサービス提供者に共有される認証機構を言う。図 1.1.1-2 でサービス利用者がサービス提供者に身元を提示すると、サービス提供者はアイデンティティ管理システムを使ってサービスの利用を依頼してきたサービス利用者の身元情報を確認する。この状況を、図 1.1.1-2 では、《使用》によっ

サービス提供者

サービス提供身元情報の確認

（認証）

サービス利用者

１ｎ

(6)

2

て示している。このとき既にこのサービス利用者についての認証が成功していれば、アイデンティティ管理システムは、サービス利用者に問い返すことなく、サービス提供者にこのサービス利用者に関する情報を返信する。

図 1.1.1-2－認証の仕組みの共通化

アイデンティティ管理システムを利用して、サービス利用者とサービス提供者とは次の効用を得ることができる。サービス利用者から見ると、アイデンティティ管理システムへの一回のサインオンによって、このアイデンティティ管理システムを共有するサービス提供者の全て（信頼パーティ (Relying Party、 RP)と呼ばれることがある）について、再度のサインオンなくサービスを利用することが可能になる。またサービス提供者は、サービス利用者の身元情報について、登録から削除までの期間、アイデンティティ管理システムの支援を得ることができる。

1.1.2 アイデンティティ管理技術の標準化要素

サービス提供者がアイデンティティ管理システムを共有してサービス提供を安全に行うために、

アイデンティティ管理システムは次の要件を満たさなければならないと考えられる。

1) サービス提供者に通知されるアイデンティティ情報が確かであること。

2) サービス提供者にアイデンティティ情報を通知する方法が安全であること。

3) サービス利用者が同意するアイデンティティ情報のみ、サービス提供者に提供されること。

ここで項番 3)は、サービス利用者のプライバシーに配慮したアイデンティティ情報の提供を要請する。

これらの要件を個々のサービス提供者が独自の規格（ポリシー）を策定して遵守することは可能と考えられるが、情報提供サービスの統制に関わる次の作業工数を軽減するには、共通の基準が必要と考えられる。

a) サービス提供者を取り巻く社会条件の変化に追随した規格の更新

b) 複数のサービス提供者間でアイデンティティ情報共有を実現する際の、ポリシー調整この基準は、アイデンティティ管理システムの構成方法によらず、サービス毎に満たすべき基準であると考えられる。その意味では、この基準及び基準を保証する方法は、アイデンティティ連携に関連する各基準のうちで、国内で統一することによる効果（情報サービス提供を推進する）が期待できる。平成 20 年度の調査研究で概要を報告した、リバティアライアンスから公開されている Identity Assurance Framework (IAF)規格は、上記項番 1)に対応する規格である。上記項番 2)及

IdM

サービス利用者

サービス提供者

サービス提供認証

１ｎｎ１

《使用》

(7)

3

び項番 3)に関連して、リバティアライアンスからは Identity Governance Framework (IGF)規格の開発がアナウンスされており、ISO/IEC JTC1/SC27 においても同様の規格の開発が行われている。

1.2 目的

前節の検討を通して本年度は、アイデンティティの確かさの保証に焦点を当てた調査研究を行なった。標準化動向調査の観点からは、JIS 素案の策定を目標に、IAF 規格及びこれに関連する規格の比較調査を行った。アイデンティティ管理技術の利用の面からは、アプリケーションの分析を通して人の ID 及びモノの ID を対象とするアイデンティティ管理（IdM）技術に対する要件を纏めた。

企業の IT 基盤としてクラウドコンピューティングを利用することに対する関心が高まっていることから、クラウドコンピューティング環境との関連でアイデンティティ管理に対する要件を検討した。

本年度の調査研究の目的を以下に示す。

① 安全なID連携技術に関する標準案の検討

・IDの信頼性保証に関する規格の比較調査を行い、規格の素案を作成する。

・人のID及びモノのIDを対象とするIdM技術に対する要件を纏める。

②報告書の作成

本年度の研究成果について、報告書(CD-ROM 版)に取り纏める。

1.3 委員会構成とテーマ

委員会構成及び各委員会のテーマを次に示す。

財団法人日本規格協会（情報技術標準化研究センター）

アイデンティティ管理標準化調査研究委員会委員長東京電機大学安田浩教授幹事

NTT

データ川村直毅

WG1（ID

信頼性保証規格の素案作成）

主査産業技術総合研究所古原和邦

WG2（ID

要件の抽出）

主査慶應義塾大学飯島正

1.4 委員会名簿

本委員会、WG1 及び WG2 の名簿を次に示す。

(8)

4

表 1.4-1－本委員会名簿

氏名所属

委員長安田浩東京電機大学未来科学部

幹事川村直毅株式会社

NTT

データ第一公共システム事業本部委員三角育生経済産業省商務情報政策局

委員井上幹邦経済産業省産業技術環境局委員飯島正慶応義塾大学理工学部

委員五十嵐達治富士通株式会社知的財産権本部委員板屋一嗣株式会社

NTT

データ技術開発本部委員井上猛成田国際空港株式会社業務推進部門委員遠藤直樹東芝ソリューション株式会社技術統括部委員五味秀仁ヤフー株式会社

Yahoo!JAPAN

研究所

委員古原和邦独立行政法人産業技術総合研究所情報セキュリティー研究センター委員斉藤嗣治日本電気株式会社マネージドプラットフォームサービス事業部委員篠田英範保健医療福祉情報システム工業会標準化推進部会

委員谷幹也日本電気株式会社共通基盤ソフトウェア研究所委員豊内順一株式会社日立製作所システム開発研究所委員中川哲也日本電信電話株式会社研究企画部門委員林誠一郎

NTT

データセキュリティ株式会社企画部委員本多義則株式会社日立製作所システム開発研究所

事務局秋間升財団法人日本規格協会情報技術標準化研究センター事務局森田信輝財団法人日本規格協会情報技術標準化研究センター事務局木村高久財団法人日本規格協会情報技術標準化研究センター事務局田村明子財団法人日本規格協会情報技術標準化研究センター

表 1.4-2－WG１名簿

氏名所属

主査古原和邦独立行政法人産業技術総合研究所情報セキュリティー研究センター幹事川村直毅株式会社

NTT

データ第一公共システム事業本部

委員板屋一嗣株式会社

NTT

データ技術開発本部委員遠藤直樹東芝ソリューション株式会社

委員新崎卓株式会社富士通研究所画像・バイオメトリクス研究センター委員谷幹也日本電気株式会社共通基盤ソフトウェア研究所

委員中川哲也日本電信電話株式会社研究企画部門委員本多義則株式会社日立製作所システム開発研究所経済省根岸喜代春経済産業省産業技術環境局

事務局木村高久財団法人日本規格協会情報技術標準化研究センター事務局田村明子財団法人日本規格協会情報技術標準化研究センター

(9)

5

表 1.4-3－WG２名簿

氏名所属

主査飯島正慶應義塾大学理工学部

幹事川村直毅株式会社

NTT

データ第一公共システム事業本部委員五十嵐達治富士通株式会社知的財産権本部

委員五味秀仁ヤフー株式会社

Yahoo!JAPAN

研究所

委員斉藤嗣治日本電気株式会社マネージドプラットフォームサービス事業部委員篠田英範保健医療福祉情報システム工業会標準化推進部会

委員豊内順一株式会社日立製作所システム開発研究所委員林誠一郎

NTT

データセキュリティ株式会社企画部経済省根岸喜代春経済産業省産業技術環境局

事務局木村高久財団法人日本規格協会情報技術標準化研究センター事務局田村明子財団法人日本規格協会情報技術標準化研究センター

1.5 委員会実施状況

平成 21 年 6 月から平成 22 年 3 月までの期間に、本委員会を 2 回、WG１を 6 回、WG２を 9 回、アドホックを 2 回開催した。

1.6 成果一覧

① 調査研究活動

1) IAF 規格 v1.1 の箇条 3.7 を選び、翻訳し、規定内容を検討した。次を得た。

・ IAF は、ID 連携時に連携先から渡されるアイデンティティ情報の確かさを、連携先の業務の監査を通して保証するための規格である。渡されるアイデンティティ情報の確かさについて、四段階の保証水準を設定し、それぞれの水準で、運用業務上遵守すべき要件を規定する。監査によって要件を満たしていることが保証された連携先が渡すアイデンティティ情報は、保証水準程度の確かさをもつとする。

・ IAF と同様の目的で開発されている規格には、ISO/IEC SC27WG5 Entity Authentication Assurance 及び ITU-T X.eaa がある。両規格とも現在開発途上にある。

・ IAF 規格の規定内容は米国規格を基礎に定められている部分がある。国内に適用する際には実施方法の検討が必要である。

2) 利用場面からみた ID 連携及び ID の確かさに対する要件については、ネットワーク上のサービスの例としてクラウドコンピューティングを選び、次を調査し、ID 及び IdM に対する要件を抽出した。

・クラウドコンピューティング環境における、IdM に関する標準化動向。

・クラウドコンピューティング環境における、IdM 基盤と中小企業の競争力強化との関わり。

・医療・保健分野における、機関・利用者間データ共有と IdM との関わり。

② 報告書の作成

以上の成果を報告書(CD-ROM 版)に取り纏めた。

(10)

6

本調査研究では、最終的な目標として JIS 化を設定している。そのため、日本国内で統一するあるいは簡単化することにより、鉱工業品の合理的な利用を進め、あわせて社会福祉の増進に寄与する項目に焦点をあてた。結果として、サービス提供者とサービス利用者との間での情報交換を通じてサービス利用者間における情報の共有を図る、BLOG (Weblog)をはじめとする Web2.0 様式の ID 連携に関連する規格・利用方法については十分な調査ができていない。また、リバティアライアンスの IGF など、プライバシーが関連する規格についても、現在策定の過程にあるという理由で十分な調査ができなかった。これらについては、更なる調査及び規格内容・利用方法の紹介が必要であると考えられる。

2. 委員会活動報告 2.1 背景と目的

平成 20 年度のアイデンティティ管理技術標準化調査研究活動を運営する。調査対象を選定し、

進め方を調整し、調査結果について評価・承認する。

2.2 活動内容

INSTAC で平成 19 年度より実施しているアイデンティティ管理標準化調査研究を取りまとめるために、JIS 素案策定を目標とするテーマを選定し、WG を設定した。

国内で統一することにより、公共分野を含む情報提供サービスの普及が期待できる要素として、

アイデンティティの確かさの保証を取上げ、標準化動向及び IT サービス利用の観点から調査を行った。

そのために、規格策定動向の観点から調査を行う WG を設定し、リバティアライアンスの IAF (Identity Assurance Framework)規格の詳細を紹介する文書を作成した。また、情報サービス利用者の観点からアイデンティティの確かさの保証についての検討を行う WG を設定した。

調査研究を実施し、成果を取りまとめた。

2.3 成果

・二つの WG を設置し、調査研究を実施した。

‐WG1

規格策定動向の観点から調査活動を行う。

IAF 規格 v1.1 の箇条 3.7 を選び、翻訳し、規定内容を検討した。

‐WG2

情報サービス利用者の観点から活動を行う。

利用場面からみた ID 連携及び ID の確かさに対する要件については、IT サービスの例としてクラウドコンピューティングを選び、ID 及び IdM に対する要件を抽出した。

・以上を取りまとめた報告書を作成した。

2.4 今後の課題

IAF 規格の分析を通して明らかになった規定内容を国内で実施する際の問題点について対応を検討し、アイデンティティの確かさに関する最新の規格化動向に注意して、JIS 化を進めることが課題になる。

(11)

7 3 WG１の活動報告

3.1 背景と目的

サービス提供者が外部の認証提供者と連携する際に重要となるのが、提供される認証情報の水準である。サービスの重要度に応じて必要になる認証水準が異なる上、今後、認証提供者が増加した場合に、それらの水準の評価と保証を付与するための枠組みが必要となる。WG１では、そのような認証保証フレームワークとして Liberty Alliance の IAF (Identity Assurance Framework) を取り上げ、それもしくはそれに準じる内容を日本で運用した場合に考慮すべき点についてまとめた。

なお、IAF は NIST Special Publication800-63 や OMB 04-04 (E-Authentication Guidance for Federal Agencies)に基づいて策定されており、それらをベースに策定されようとしている他の基準や規格においても参考になると思われる。（そのような、基準や規格としては、例えば、ISO/IEC JTC 1 における Entity Authentication Assurance、ITU-T における X.eaa 規格、日本国 NISC (National Information Security Center : 内閣官房情報セキュリティセンター)における「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」などがある。）ただし、Special Publication800-63、OMB 04-04 いずれも米国の電子政府システムにおける利用者認証が主な対象であるため、それらをベースに策定された IAF がそのまま日本の慣習や商習慣に馴染むとは限らない。そこで、WG1 では IAF で定められている内容と現状の日本の商習慣との違いに焦点を当て考察を行い、課題の抽出を行った。

3.2 活動内容

3.2.1 IAF 規格箇条 3.7 の内容 3.2.1.1 用語及び記法の説明

翻訳原稿の理解に便宜を図るために、IAF 規格における保証水準の考え方及び保証に対する要件の書き方を 3.2.2.1 に示し、3.2.2.2 に翻訳を示す。

１）保証水準

保証水準(AL)は電子商取引において、信頼するパーティが、クレデンシャルサービスプロバイダ (CSP)によって提示されているものが実際にそれで指定された実体を表しており、それが実体の表示であるとするアイデンティティ情報が、実際に電子取引に関与していると確信する程度を表す。

IAF は 4 段階の保証水準を定義している。この４段階の保証水準は、OMB M-04-04 及び NIST Special Publication800-63 に基づく。保証水準の定義を表 3.2.1.1-1 に示す。

表 3.2.1.1-1－4 段階の保証水準保証水準記述

１宣言されたアイデンティティの正しさに対する信頼性は殆ど又は全くない２宣言されたアイデンティティの正しさに対して、ある程度の信頼性がある３宣言されたアイデンティティの正しさに対して、高い信頼性がある４宣言されたアイデンティティの正しさに対して、非常に高い信頼性がある注記「正しさ」 validity、「信頼性」 confidence

(12)

8

保証水準は、クレデンシャル付与手続きによって与えられる保証水準に対応付けられたリスクを緩和するために要求される、アイデンティティの確からしさの程度に基づいて選択される。必要となる保証の度合いは電子取引システムをカバーするリスク評価手続きによって、信頼パーティが決定する。そして、衝撃レベルを保証水準に対応付けることによって、信頼パーティは、自身がどの保証水準を必要とするかを決定する。

衝撃レベルを評価する詳細を表 3.2.1.1-2 に示す:

表 3.2.1.1-2‐各保証水準における潜在的な衝撃保証水準

認証誤りの潜在的な衝撃

１２３４

不便、地位又は名誉に対する苦痛又は損失小中程度かなり大

経済的損失又は公的な信用小中程度かなり大

政治的、公的プログラム又は公的投資に有害 N/A 小中程度大

機密情報の不正な公開 N/A 中程度かなり大

人の安全 N/A N/A 小かなり大

権利の侵害又は犯罪行為 N/A 小かなり大

注記小=Min Minimum

、

中程度=moderate

、

かなり=Sub Substantial

、

大=High

、 N/A=no assigning

２）評価基準の表記法

次節に示す IAF 規格本文では、評価基準を項目毎に次のように表記している。

この記法は次のように使われている。

(13)

9

(14)

10 3.2.1.2 翻訳原稿

原文

(Identity Assurance Framework v1.1, (c) Kantara Initiative 2009-2010)

和訳

3.7 Credential Management Service Assessment Criteria 3.7 クレデンシャル管理サービス評価基準 The Service Assessment Criteria in this section establish requirements

for the functional conformity of credential management services and their providers at all ALs defined in Section 2. These criteria are generally referred to elsewhere within IAEG documentation as CM- SAC.

The criteria are divided into five parts. Each part deals with a specific functional aspect of the overall credential management process.

This SAC must be used in conjunction with the Common Organizational SAC (CO-SAC), described in Section 3.5, and, in addition, must either:

• explicitly include the criteria of the Identity Proofing SAC ([ID- SAC]) described in Section 3.6, or

• rely upon the criteria of the ID-SAC [ID-SAC] being fulfilled by the use of an IAEG-approved ID-proofing service.

Note: Some of the SAC-identifying numbers are not used in all of the ALs. In such cases, the particular SAC number has been reserved where not used and skipped.

この節で規定するサービス評価基準(Service Assessment Criteria、SAC)は、クレデンシャル管理サービス間及び箇条 2 で定義する全保証水準でのサービスプロバイダ間における、機能的な適合に関する要件を確立する。これらの評価基準は IAEG 文書ではどこでも、一般的に、CM-SAC として参照される。

この評価基準は五つの部分に分かれる。それぞれの部分はクレデンシャル管理プロセスの全体のうち、特別な機能的な観点に関連する。

この SAC は、箇条 3.5 に規定する共通組織 SAC (Common Organisation SAC、CO-SAC)と関連付けて使うこととする。加えて、次のいずれかに従うとする。

・箇条 3.6 で規定されるアイデンティティ証明 SAC (Identity Proofing SAC、ID-SAC) を明示的に含める、又は、

・ IAEG が承認する ID 証明サービスを使って ID-SAC の評価基準を満たし、この評価基準を信頼する。

注記

ある保証主準では使われていない、SAC を指定する数字がある。この場合、SAC 番号は予約され、使われることなくスキップされる。

3.7.1 Part A--Credential Operating Environment 3.7.1 Part A-- クレデンシャル運用環境 The criteria in this part deal with the overall operational environment

in which the credential life-cycle management is conducted. The credential management service assessment criteria must be used in conjunction with the common organizational criteria described in Section 3.5. In addition, they must either explicitly include the identity proofing service assessment criteria described in Section 3.6 or rely upon those criteria being fulfilled by the use of an IAEG- approved identity proofing service.

These criteria describe requirements for the overall operational environment in which credential lifecycle management is conducted.

The common organizational criteria describe broad requirements.

The criteria in this section describe implementation specifics.

Implementation depends on the AL. The procedures and processes required to create a secure environment for management of credentials and the particular technologies that are considered strong enough to meet the assurance requirements differ considerably from level to level.

この節の評価基準は、クレデンシャルの生涯管理を実行する環境の全体的な運用に関連する。クレデンシャル管理サービスの評価基準は、箇条 3.5 で規定する共通組織基準と結合して使うものとする。

加えて、箇条 3.6 で規定するアイデンティティ証明サービス評価尺度を陽に含めるか、または、IAEG が承認するアイデンティティ証明サービスを使って要件を満たすことによってこれらの基準に拠るものとする。

これらの基準はクレデンシャルの生涯管理を実施する大域的な運用環境に対する要件を規定する。共通組織基準は一般的な要件を規定する。この節で規定する基準は実装に依存する。

実装は保証水準に依存する。クレデンシャル管理に対する安全な環境を創成するために要求される手続き及び手順、並びに保証要求を満たすために十分に強いと考えることができる個別の技術は、保証レベルが異なれば違ってくる。

3.7.1.1 Assurance Level 1 3.7.1.1 保証水準１

These criteria apply to PINs and passwords, as well as SAML assertions.

これらの基準は PIN 及びパスワードに適用する。SAML アサーションも同様。

3.7.1.1.1 Credential Policy and Practices 3.7.1.1.1 クレデンシャルポリシー及び実践 These criteria apply to the policy and practices under which

credentials are managed.

An enterprise and its specified service must:

次の基準はクレデンシャルを管理するポリシー及び実践に適用する。

事業者及び事業者が指定するサービスは次によることとする。

(15)

11

AL1_CM_CPP#010 Credential Policy and Practice Statement AL1_CM_CPP#010 クレデンシャルポリシー及び実践の宣言

No stipulation. 適用条項無し。

3.7.1.1.2 Security Controls 3.7.1.1.2 セキュリティコントロール

An enterprise and its specified service must: 事業者及び事業者が指定するサービスは次によることとする。

AL1_CM_CTR#010 Secret revelation AL1_CM_CTR#010 機密の暴露

AL1_CM_CTR#020 Protocol threat risk assessment and controls

AL1_CM_CTR#020 プロトコルの脅威に対するリスク評価及びコントロール

Account for the following protocol threats and apply appropriate controls:

a) password guessing, b) message replay.

次のプロトコルの脅威を考慮して、適切にコントロールする。

a) パスワード推測、

b) メッセージ反復。

AL1_CM_CTR#030 System threat risk assessment and controls

AL1_CM_CTR#030 システムへの脅威に対するリスク評価及びコントロール

Account for the following system threats and apply appropriate controls:

a) the introduction of malicious code,

b) compromised authentication arising from insider action, c) out-of-band attacks by other users and system operators (e.g., shoulder-surfing),

d) spoofing of system elements/applications, e) malfeasance on the part of subscribers and subjects.

次のシステムへの脅威を考慮し、適切にコントロールする。

a) 悪意のあるコードの導入

b) 内部の行動から引き起こされる認証の危殆化

c) 他のユーザとシステム運用者とによる、想定外の攻撃（例えば、覗き見）

d) システム要素/アプリケーションのだまし e) 契約者及び主体の一部による不正行為

3.7.1.1.3 Storage of Long-term Secrets 3.7.1.1.3 長期間に渡る機密の格納

AL1_CM_STS#010 Stored Secrets AL1_CM_STS#010 格納された機密

Not store secrets (such as passwords) as plain text and apply discretionary access controls that limit access to administrators and those applications that require access.

パスワードのような機密は平文では格納せず、アクセスを管理者及びアクセスを必要とするアプリケーションに制限するために任意のアクセスコントロールを適用する。

3.7.1.1.4 Security-relevant Event (Audit) Records 3.7.1.1.4 セキュリティ関連事象の（監査）記録

3.7.1.1.5 Subject Options 3.7.1.1.5 主体の選択肢

AL1_CM_OPN#010 Changeable PIN/Password AL1_CM_OPN#010 変更可能な PIN 及びパスワード

Permit subjects to change their PINs/passwords. 主体が自身の PIN 及びパスワードを変更することを許す。

3.7.1.2 Assurance Level 2 3.7.1.2 保証水準２

These criteria apply to passwords, as well as acceptable SAML assertions.

次の評価基準はパスワードに適用する。受理できる SAML アサーションも同様。

3.7.1.2.1 Credential Policy and Practices 3.7.1.2.1 クレデンシャルポリシー及び実践 These criteria apply to the policy and practices under which

次の基準はクレデンシャルを管理するポリシー及び実践に適用する。

事業者及び事業者が指定するサービスは次によることとする。

AL2_CM_CPP#010 Credential Policy and Practice Statement AL2_CM_CPP#010 クレデンシャルポリシー及び実践の宣言

(16)

12 Include in its service definition a description of the policy against which it issues credentials and the corresponding practices it applies in their management. At a minimum, the Credential Policy and Practice Statement must specify:

a) if applicable, any OIDs related to the Practice and Policy Statement;

b) how users may subscribe to the service/apply for credentials and how users' credentials will be delivered to them;

c) how subscribers acknowledge receipt of tokens and credentials and what obligations they accept in so doing (including whether they consent to publication of their details in credential status directories);

d) how credentials may be renewed, modified, revoked, and suspended, including how requestors are authenticated or their identity re-proven;

e) what actions a subscriber must take to terminate a subscription.

サービス定義には、クレデンシャルの発行ポリシー及びクレデンシャル発行に対応してクレデンシャル管理に適用する実践ポリシーの記述を含めるものとする。クレデンシャルポリシー及び実践の宣言は、少なくとも次を規定するものとする。

a) 適用可能ならば、実践及びポリシー宣言に関連する OID どれも b) ユーザがサービス購読を申し込む方法、クレデンシャルを利用する方法及びユーザのクレデンシャルがユーザに配送される方法 c) 契約者がトークン及びクレデンシャルの受領を連絡する方法並びに連絡するためにユーザが行わなければならない義務（クレデンシャル状態のディレクトリに彼らの詳細を公開することへの同意を含む）。

d) 要求者が認証される方法又は要求者のアイデンティティが再証明される方法を含めて、クレデンシャルを更新し、修正し、失効し、抑止する方法

e) 購読を停止する際に契約者が行うべきこと。

AL2_CM_CPP#030 Management Authority AL2_CM_CPP#030 管理機関 Have a nominated management body with authority and

responsibility for approving the Credential Policy and Practice Statement and for its implementation.

クレデンシャルポリシー及び実践宣言の承認及び実装に権限と責任とをもつ、推薦された管理主体をもつこととする。

AL2_CM_CTR#010 Secret revelation AL2_CM_CTR#010 機密の暴露

Use communication and authentication protocols that minimize the duration of any clear-text disclosure of long-term secrets, even when disclosed to trusted parties.

信頼パーティに公開されているものであっても、長期に渡る機密をどのようなものであれ明確なテキストとして公開する時間間隔を最短にする通信及び認証プロトコルを使うこととする。

Account for the following protocol threats in its risk assessment and apply controls that reduce them to acceptable risk levels:

a) password guessing, b) message replay, c) eavesdropping.

プロトコルに対する次の脅威をリスク評価に考慮し、コントロールして、受理できる水準まで低減する。

a) パスワード推測 b) メッセージ反復 c) 盗聴

AL2_CM_CTR#030 システムへの脅威に対するリスク評価及びコントロール

Account for the following system threats in its risk assessment and apply controls that reduce them to acceptable risk levels:

a) the introduction of malicious code;

b) compromised authentication arising from insider action;

c) out-of-band attacks by both users and system operators (e.g., the ubiquitous shoulder-surfing);

d) spoofing of system elements/applications;

e) malfeasance on the part of subscribers and subjects;

f) intrusions leading to information theft.

システムに対する次の脅威をリスク評価に考慮し、コントロールして、受け入れ可能な水準まで低減する。

a) 不正コードの導入

b) 内部の動作から起る認証の危殆化

c) ユーザとシステム運用者の双方による想定外の攻撃（即ち、ユビキタスな覗き見）

d) システム要素／アプリケーションのだまし e)契約者読者及び主体の一部による不正行為 f) 情報詐取につながる侵入

AL2_CM_CTR#040 Specified Service's Key Management AL2_CM_CTR#040 指定されたサービスの鍵管理

(17)

13 Specify and observe procedures and processes for the generation, storage, and destruction of its own cryptographic keys used for securing the specific service's assertions and other publicized information. At a minimum, these should address:

a) the physical security of the environment;

b) access control procedures limiting access to the minimum number of authorized personnel;

c) public-key publication mechanisms;

d) application of controls deemed necessary as a result of the service's risk assessment;

e) destruction of expired or compromised private keys in a manner that prohibits their retrieval, or their archival in a manner that prohibits their reuse.

規定されたサービスのアサーション及び他の公開情報を安全にするために使用する自身の暗号鍵の、生成、格納及び破壊の手続き及び手順を規定し、観察することとする。最低限、次を扱うものとする。

a) 環境の物理的セキュリティ

b) 最小限の正式に許可された人物にアクセスを制限するアクセスコントロール手続き

c) 公開鍵を公開する機構

d) サービスのリスク評価の結果として必要と考えられるコントロールの適用

e) 有効期間が過ぎた又は有効性が疑われる私有鍵を、検索を禁止する方法で破壊するか、又は再利用を禁止する方法で保存する。

3.7.1.2.3 Storage of Long-term Secrets 3.7.1.2.3 長期に渡る機密の格納

Not store secrets (such as passwords) as plain text and apply discretionary access controls that limit access to administrators and to those applications requiring access.

平文で機密（パスワードのような）を格納せず、任意のアクセスコントロールを適用してアクセスを管理者及びアクセスを要求するアプリケーションに制限するものとする。

3.7.1.2.4 Security-Relevant Event (Audit) Records 3.7.1.2.4 セキュリティ関連事象の監査記録 These criteria describe the need to provide an auditable log of all

events that are pertinent to the correct and secure operation of the service. The common organizational criteria applying to provision of an auditable log of all events pertinent to the correct and secure operation of the service must also be considered carefully. These criteria carry implications for credential management operations.

この評価基準は、サービスを正しくかつ安全に運用する上で関係するすべてのイベントの監査可能なログを提供するための必要性を記述する。サービスを正しくかつ安全に運用することに関連するすべてのイベントについて監査可能なログを提供するために適用される共通組織基準も注意深く考慮されるものとする。これらの基準はクレデンシャル管理の運用に影響を与える。

3.7.1.2.5 Subject Options 3.7.1.2.5 主体の選択肢

AL2_CM_OPN#010 Changeable PIN/Password AL2_CM_OPN#010 変更可能な PIN 及びパスワード Permit subjects to change their passwords, but employ reasonable

practices with respect to password resets and repeated password failures.

主体のパスワード変更を許すものとする。ただし、パスワードのリセット及び繰り返されるパスワードの失敗についての合理的な実践をつかうものとする。

3.7.1.3 Assurance Level 3 3.7.1.3 保証水準３

These criteria apply to one-time password devices and soft crypto applications protected by passwords or biometric controls, as well as cryptographically-signed SAML assertions.

この基準は、パスワード又はバイオメトリックコントロールによって保護されたワンタイムパスワード装置及びソフトウェア暗号化アプリケーションに適用する。同様に、暗号によって署名された SAML アサーションにも適用する。

3.7.1.3.1 Credential Policy and Practices 3.7.1.3.1 証明のポリシー及び実践 These criteria apply to the policy and practices under which

この評価基準は証明書の管理に関するポリシー及び実践に適用する。

事業者及び事業者が指定するサービスは次に従うこととする。

AL3_CM_CPP#010 Credential Policy and Practice Statement AL3_CM_CPP#010 クレデンシャルのポリシー及び実践の宣言 Include in its service definition a full description of the policy against

which it issues credentials and the corresponding practices it applies in their issuance. At a minimum, the Credential Policy and Practice Statement must specify:

a) if applicable, any OIDs related to the Credential Policy and Practice Statement;

b) how users may subscribe to the service/apply for credentials and

サービス定義には、クレデンシャル発行ポリシー及びクレデンシャル発行に関連する実践に係る業務を完全に記述しなさい。最低限、

“クレデンシャルポリシー及び実践宣言”は次を明らかにするものとする。

a) 適用できるなら、どのオブジェクト ID (OID)についても、関連するクレデンシャルポリシー及び業務宣言

b) 利用者がサービスを購入し、クレデンシャルを申請する方法及

(18)

14 how the users' credentials will be delivered to them;

c) how subscribers acknowledge receipt of tokens and credentials and what obligations they accept in so doing (including whether they consent to publication of their details in credential status directories);

d) how credentials may be renewed, modified, revoked, and suspended, including how requestors are authenticated or their identity -proven;

e) what actions a subscriber must take to terminate a subscription.

びにユーザにクレデンシャルが配送される方法

c) 利用者がトークン及びクレデンシャルを受け取ったことを通知する方法、及びそれを行うに際しての利用者の義務（利用者が、

クレデンシャル状態ディレクトリに利用者の詳細について公開することに同意するか、ということを含む。）。

d) クレデンシャルを更新し、変更し、失効し、抑止する方法。要求者を認証し、そのアイデンティティを証明する方法を含む。

e) 購買を停止する際に、契約者が行わなければならない措置。

AL3_CM_CPP#030 Management Authority AL3_CM_CPP#030 管理機関 Have a nominated or appointed high-level management body with

authority and responsibility for approving the Certificate Policy and Certification Practice Statement, including ultimate responsibility for its proper implementation.

“証明書のポリシー及び証明書の実践に関する宣言”を承認するために、推薦された又は予約された、権威と責任とを伴う高い水準の管理機関をもつ。権威と責任との中には、その正しい実装に対する絶対的な責任を含む。

a) password guessing, b) message replay, c) eavesdropping,

d) relying party (verifier) impersonation, e) man-in-the-middle attack.

プロトコルに対する次の脅威をリスク評価の中で考慮し、リスクコントロールを適用しこれらを受け入れられるリスクレベルまで削減する。

a) パスワード推測 b) メッセージ再生 c) 盗聴

d) 信頼パーティ（検証者）成りすまし e) 中間者攻撃

AL3_CM_CTR#030 システムへの脅威に対するリスク評価とコントロール

Account for the following system threats in its risk assessment and apply controls that reduce them to acceptable risk levels:

a) the introduction of malicious code;

b) compromised authentication arising from insider action;

c) out-of-band attacks by both users and system operators (e.g., shoulder-surfing);

d) spoofing of system elements/applications;

e) malfeasance on the part of subscribers and subjects;

f) intrusions leading to information theft.

a) 悪質コードの導入

b) 内部のアクションが引き起こす認証の危殆化

c) 利用者及びシステム運用者の双方による想定外の攻撃(即ち、覗き見)

d) システム要素・アプリケーションに対する騙し e) 契約者及び主体の一部に対する（運用者の）不正 f) 侵入による情報盗難

AL3_CM_CTR#040 Specified Service's Key Management AL3_CM_CTR#040 指定されたサービスの鍵管理 Specify and observe procedures and processes for the generation,

storage, and destruction of its own cryptographic keys used for securing the specific service's assertions and other publicized information. At a minimum, these should address:

a) the physical security of the environment;

b) access control procedures limiting access to the minimum number of authorized personnel;

c) public-key publication mechanisms;

d) application of controls deemed necessary as a result of the service's risk assessment;

e) destruction of expired or compromised private keys in a manner that prohibits their retrieval or their archival in a manner that prohibits

指定されたサービスのアサーション及び他の公開情報を安全にするために使われる、固有の暗号鍵を生成し、蓄積し、破壊する手続き及びプロセスを規定し監視する。最小限、次を含むものとする。

a) 環境の物理的安全

b) 権限を有する人物の最小数にアクセスを制限するアクセスコントロール手続き

c) 公開鍵の公開手続き

d) サービスのリスク評価の結果として必要と考えられるコントロールのアプリケーション

e) 期限切れの、又は危殆化された秘密鍵を、これらが検索されることのない方法で破壊し、またはこれらが再利用されることのない方法で記録を保管する。

(19)

15 their reuse.

3.7.1.3.3 Storage of Long-term Secrets 3.7.1.3.3 長期間に渡る機密の格納

An enterprise and its specified service must: 事業者及び事業者が指定するサービスは次に従うこととする。

Not store secrets (such as passwords) as plain text and apply discretionary access controls that limit access to administrators and to those applications that require access.

パスワードなど、どんな機密も平文では格納せず、任意のアクセスコントロールを使用して、管理者及び機密にアクセスが必要なアプリケーションにアクセスを限定する。

AL3_CM_STS#020 Stored Secret Encryption AL3_CM_STS#020 格納された機密の暗号化 Encrypt such shared secret files so that:

a) the encryption key for the shared secret file is encrypted under a key held in a FIPS 140-2 [FIPS140-2] Level 2 or higher validated hardware or software cryptographic module or any FIPS 140-2 Level 3 or 4 cryptographic module, or equivalent, as established by a recognized national technical authority,;

b) the shared secret file is decrypted only as immediately required for an authentication operation;

c) shared secrets are protected as a key within the boundary of a FIPS 140-2 Level 2 or higher validated hardware cryptographic module or any FIPS 140-2 Level 3 or 4 cryptographic module and are not exported from the module in plain text, or equivalent, as established by a recognized national technical authority,;

d) shared secrets are split by an "n from m" cryptographic secret sharing method.

共用される機密ファイルの暗号化は次による。

a) 共用される機密ファイルに対する暗号は、FIPS140‐2 水準 2 以上の検証されたハードウェア若しくはソフトウェア暗号化モジュールに格納された暗号キーによって、又は FIPS140-2 の水準 3 若しくは水準 4 暗号化モジュールによって、又は公的に認められた国の技術機関が確立した等価なものにより、暗号化される。

b) 共有機密ファイルは認証操作のために直接に必要な場合にのみ、暗号を解除される。

c) 共有される機密は、FIPS140-2 水準 2 以上の検証されたハードウェア暗号モジュール又は任意の FIPS140-2 水準 3 若しくは水準４暗号化モジュール、又は公的に認められた国の技術機関が確立した等価なものの境界内部にキーとして保護され、モジュールの外部に平文の形で持ち出されることはない。

d) 共有される機密は"m から n"暗号化機密共有方式によって分割する。

3.7.1.3.4 Security-relevant Event (Audit) Records 3.7.1.3.4 セキュリティ関連事象の監査記録 These criteria describe the need to provide an auditable log of all

events that are pertinent to the correct and secure operation of the service. The common organizational criteria applying to provision of an auditable log of all security-related events pertinent to the correct and secure operation of the service must also be considered carefully.

These criteria carry implications for credential management operations.

In the specific context of a certificate management service, an enterprise and its specified service must:

次の基準は、サービスの正しくかつ安全な運用に関連するすべてのイベントについて監査できるログを提供するための要件を記述する。サービスの正しくかつ安全な運用に関連する、セキュリティ関連のイベントをすべて監査できるログとして提供することに関連する「共通組織基準」はまた、注意深く考慮されなければならない。

これらの基準はクレデンシャル管理の運用に影響する。

証明書管理サービスの特別なコンテクストで、事業者と事業者が指定するサービスとは次に従うこととする。

AL3_CM_SER#010 Security event logging AL3_CM_SER#010 セキュリティイベントのログ採取

Ensure that such audit records include:

a) the identity of the point of registration (irrespective of whether internal or outsourced);

b) generation of the subscriber's keys or the evidence that the subscriber was in possession of both parts of their own key-pair;

c) generation of the subscriber's certificate;

d) dissemination of the subscriber's certificate;

e) any revocation or suspension associated with the subscriber's certificate.

監査記録に次が含まれることを保証する。

a) 登録地点のアイデンティティ（内部か外部委託かに関わらず）

b) 契約者のキー（対）の生成、または、契約者は自身のキー対を両方とも持っていたという証明

c) 契約者の証明書の生成 d) 契約者の証明書の拡散

e) どのようなものであれ、購読者の証明書を伴って行われる失効又は抑止。

3.7.1.3.5 Subject options 3.7.1.3.5 主体の選択肢

An enterprise and its specified service must: 事業者及び事業者が指定するサービスは次に従うこととする。

AL3_CM_OPN#010 Changeable PIN/Password AL3_CM_OPN#010 変更可能な PIN 及びパスワード Permit subjects to change the password used to activate their

credentials.

クレデンシャルを活性化するためのパスワードの変更を主体に対して許す。

(20)

16

3.7.1.4 Assurance Level 4 3.7.1.4 保証水準４

These criteria apply exclusively to cryptographic technology deployed through a Public Key Infrastructure. This technology requires hardware tokens protected by password or biometric controls. No other forms of credential are permitted at AL4.

この評価基準は PKI 公開鍵暗号系経由で展開される暗号技術にのみ適用される。この技術はパスワード又は生体認証によって保護されたハードウェアトークンを要求する。保証水準 4 ではこれ以外の形式のクレデンシャルを認めない。

3.7.1.4.1 Certification Policy and Practices 3.7.1.4.1 証明書のポリシー及び実践 These criteria apply to the policy and practices under which

certificates are managed.

この評価基準は証明書の管理に関するポリシー及び実践に適用する。

事業者と事業者が指定するサービスとは次に従うこととする。

AL4_CM_CPP#020 Certificate Policy/Certification Practice Statement

AL4_CM_CPP#020 証明書のポリシー・証明書の実践を宣言すること

Include in its service definition its full Certificate Policy and the corresponding Certification and Practice Statement. The Certificate Policy and Certification Practice Statement must conform to IETF RFC 3647 (2003-11) [RFC 3647] in their content and scope or be demonstrably consistent with the content or scope of that RFC. At a minimum, the Certificate Policy must specify:

a) applicable OIDs for each certificate type issued;

b) how users may subscribe to the service/apply for certificates, and how certificates will be issued to them;

c) if users present their own keys, how they will be required to demonstrate possession of the private key;

d) if users' keys are generated for them, how the private keys will be delivered to them;

e) how subscribers acknowledge receipt of tokens and credentials and what obligations they accept in so doing (including whether they consent to publication of their details in certificate status directories);

f) how certificates may be renewed, re-keyed, modified, revoked, and suspended, including how requestors are authenticated or their identity proven;

g) what actions a subscriber must take to terminate their subscription.

サービス定義には完全な“証明ポリシー”及び関連する“証明の宣言・実践の宣言”を含める。証明のポリシー及び証明の実践に関する宣言は、内容及び適用範囲が IETF RFC 3647 (2003-11) [RFC 3647]と適合しているか、又は、内容及び適用範囲がこの RFC と一貫性を持つことを示すものとする。最低限、証明ポリシーは次を示すこととする。

a) 発行された証明書に対して適用できる OID

b) ユーザがサービスを購入し証明を受ける方法、及び証明書がユーザに発行される方法

c) ユーザが自身の鍵を持つならば、私有鍵をもつことを示すことが要求される方法

d) ユーザ鍵がユーザに対して生成されたならば、ユーザに私有鍵が配布される方法

e) 加入者がトークン及びクレデンシャルを受け取ったことを確認する方法、及び確認時にユーザが負う義務（ユーザの詳細を証明書の状態ディレクトリに公開することを承認するかを含む。）、

f) 要求者の認証法又は身元の証明法を含む、証明書の更新、再入力、修正、失効及び抑制の方法、

g) 購入を停止する時に加入者がすべき行為。

AL4_CM_CPP#030 Management Authority AL4_CM_CPP#030 管理機関 Have a nominated or appointed high-level management body with

authority and responsibility for approving the Certificate Policy and Certification Practice Statement, including ultimate responsibility for its proper implementation.

証明のポリシー及び証明の実践に関する宣言を承認するために、推薦された又は予約された、権威と責任とを伴う高い水準の管理機関をもつ。権威と責任との中には、その正しい実装に対する絶対的な責任を含む。

An enterprise and its specified service must: 事業者と事業者が指定するサービスとは次によるとする。

a) Password guessing, b) Message replay, c) Eavesdropping

d) Relying party (verifier) impersonation, e) Man-in-the-middle attack,

f) Session hijacking.

a) パスワード推測 b) メッセージ再生 c) 盗聴

d) 信頼パーティ（検証者）成りすまし e) 中間者攻撃

f) セッションハイジャック

成 果 報 告 書 アイデンティティ管理技術標準化調査研究

競輪補助事業

平成２１年度個人化情報の活用と管理技術 の標準化調査研究補助事業

アイデンティティ管理技術標準化調査研究 成 果 報 告 書

平成２２年３月

財団法人 日 本 規 格 協 会

情報技術標準化研究センター

この調査研究は，財団法人ＪＫＡからの補助金で実施したものの成果である。

··· 6

··· 7

··· 7

··· 7

··· 8

··· 8

··· 46

··· 47

··· 49

··· 79

··· 80

IT

IdM

NTT

WG1（ID

WG2（ID

NTT

NTT

Yahoo!JAPAN

NTT

NTT

NTT

NTT

Yahoo!JAPAN

NTT

、

、

、

、 N/A=no assigning

成果報告書アイデンティティ管理技術標準化調査研究

平成２１年度個人化情報の活用と管理技術の標準化調査研究補助事業

アイデンティティ管理技術標準化調査研究成果報告書

財団法人日本規格協会