内閣官房 確定 ・オンライン手続におけるリスク評価及び電子署名・認証ガイドライン
こんにちは、丸山満彦です。内閣官房が「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」を公表していますね。。。
●内閣官房 電子政府ガイドライン作成検討会
・オンライン手続におけるリスク評価及び電子署名・認証ガイドライン
・ オンライン手続におけるリスク評価及び電子署名・認証ガイドライン(概要版)
・「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」(案)に関するパブリックコメントの概要及びそれに対する考え方
・2010.02.02 「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」(案)の策定に向けた意見の募集について
保証レベルを4つに分け、登録、発行・管理、トークン、認証プロセス、署名等プロセスについての対策基準をつくっています。。。
|
保証 レベル |
登録 |
発行・管理 |
トークン |
認証プロセス |
署名等プロセス |
|
レベル4 |
(窓口) • 写真付き身分証明1種の提示 • 申請情報の台帳照合 • 重複登録ではないことの確認 |
• 手渡し、本人限定受取 郵便、によるトークン発行 |
• レベル3の基準に加え、耐タンパ性が確保されたハードウェアトークンを利用すること |
• レベル3と同等の基準 |
• 電子政府推奨暗号リストに記載の署名方式 • 電子署名用の証明書の用途は電子署名限定 |
|
レベル3 |
(窓口) • 写真付き身分証明1種(or他2種)の提示 • 申請情報の台帳(又は公的証明書)照合 (郵送or オンライン) • 申請書に対する電子署名 • 申請情報の台帳(又は公的証明書)照合 |
• レベル4の方法に加え、書留郵便、書留郵便+ダウンロード、電子署名+ダウンロード、によるトークン発行 |
• レベル2の基準に加え、複数の認証要素を利用すること |
• レベル2と同等の基準に加え、フィッシングの脅威に対する耐性 |
• 電子政府推奨暗号リストに記載の署名方式 |
|
レベル2 |
(窓口) • 写真付き身分証明1種(or他2種)の提示 (郵送or オンライン) • 申請情報に他機関の登録情報(クレジット カード番号等)を含めて申告 |
• レベル3の方法に加え、分割配付(一方を郵送)、メール通知後のダウンロード、によるトークン発行 |
• 認証情報の推測確率が16384分の1未満であること |
• レベル1と同等の基準に加え、盗聴、セッション・ハイジャック、中間者攻撃の脅威に対する耐性 |
|
|
レベル1 |
(窓口or 郵送or オンライン) • 身元確認は不要 • メールアドレスの到達確認 |
• レベル2の発行方法に加え、電子メールによる送付、ダウンロード、によるトークン発行 |
• 認証情報の推測確率が1024分の1未満であること |
• オンライン上の推測、リプレイ攻撃の脅威に対する耐性 |
|
« IPA 「組込みシステムのセキュリティへの取組みガイド(2010年度改訂版)」 | Main | 総務省 パブコメ 地方公共団体における情報セキュリティポリシーに関するガイドライン(案)と地方公共団体における情報セキュリティ監査に関するガイドライン(案) »
Comments
丸山 様
夏井です。
これはこれで結構なんですが,「本当はほとんど無意味だ」ということを,こんど出る予定の某書籍の分担執筆原稿で書いてしまいました。内容が過激なので,ボツになってしまうかもしれないと予測しておりますが,場合によっては人生最後の論文になるかもしれないと思って正直に書きました。本当は,賢い学者であればみんな同じことを考えているのでしょうけど,怖くて(または正直でないために)本当のことを言えないのだろうと推察します。仕方がないので私が犠牲になります。
本人確認は,結局のところ,割合的にしか表現できない確率論しかないので,ある/なしの2分法で考えるのはやめにしましょう。
また,すべての本人確認のための根本となる事実としての「特定の個人の生存」という事実については,(高齢者などの幽霊戸籍や幽霊住民台帳がへたをすると100万人分以上存在することが明らかになっている以上)誰も物理的な認証をしていなかったということが明らかになってしまいました。つまり,ほぼすべてのタイプの身分証明書には完全な証明力など最初からないと考えてよいです。そこにあるのは,やはり,一定の確率で計算するしかない推定力だけです。
なお,ここで確率論というとすぐに「ベイズ」の理論にとびつく人がいますが,この理論は完全にまやかしの理論なので駄目です(聡明かつ賢明な丸山様がベイズの理論にとびつくとは全く思っておりませんが・・・)。
出たばかりのガイドラインなのにまことに申し訳ありませんが,このガイドラインは,全く役にたたないので,根本部分から全面的に書き直すことをお勧めします。
Posted by: 夏井高人 | 2010.09.11 at 15:08
夏井先生、コメントありがとうございます。
=====
ほぼすべてのタイプの身分証明書には完全な証明力など最初からないと考えてよいです。そこにあるのは,やはり,一定の確率で計算するしかない推定力だけです。
=====
今の日本の制度で、自称AさんがAさんであることを100%の確度で証明できそうな時というのはほとんどないでしょうね。。。
赤ちゃんが生まれた瞬間に「Aという名前をつけた!」と親が宣言した直後であれば、「その赤ちゃんがAさんである」というのは、その宣言した場所にいる人には100%の確度でいえそうな気がしますが。。。
ベイズ理論ね。。。
結果から考える監査でも時々使われる場合がありますが。。。
Posted by: 丸山満彦 | 2010.09.13 at 14:40
丸山 様
夏井です。
細かなことを書く余裕がないので結論だけ書きます。
ある認証が成立するために,A,B,C,D,Eの5つの要素を考慮すべきだと仮定します。
1/0で発想する場合,A~Eが一応1であるとして運用されていると,
1 * 1 * 1 * 1* 1 = 1
ですので,結果は1(真)となります。
しかし,あるひ突然Aの要素が0(偽)となったとたんに,
0 * 1 * 1 * 1 * 1 = 0
で全滅という結果になります。
では,割合的に考える場合にはどうなるかというと,A~Eが一律に0.7と仮定した場合,AとBを掛け合わせただけで既に0.5を下回ってしまいますので,A~Eの個々の要素がいずれも7割の信頼度を有しるとしても,全体としては信頼できないという結論しかないことになります。
0.7 * 0.7 = 0.49
そして,仮にAの値である0.7が不変(固定値)であり,B,C,D,Eが可変であると仮定すると,この例では,全体の結果が0.5を上回るように,B~Eの各要素の値を検討することが必要になるという結論になります。
現実に,幽霊戸籍や幽霊住民登録が推定で100万人分以上と非常に多数存在するわけですので,その記録にある個人の生存という事実(上記の例ではAの要素)を前提に運用される認証システムの側(上記の例ではB~Eの要素)の信頼度がいずれもいかに高くても,Aが0であれば,全体として0になります。
この当たり前の理屈を正しく理解してください。
Posted by: 夏井高人 | 2010.09.13 at 16:12
夏井先生、コメントありがとうございます。
なるほど。。。
Posted by: 丸山満彦 | 2010.09.16 at 00:11
丸山様
夏井です。
今度書いた原稿は専門家向けのものですので,その原稿に上記のようなことが直接書いてあるわけではないのですが,頭の良い人がちゃんと読めばこのように書いてあると直ちに理解できるはずです。私は,専門家向けの文章に関しては読者を選ぶので,理解できない人には理解されなくてもよいという態度で割り切っています。理解できるだけの能力をもっている優秀な人だけがちゃんと読み取って応用し,同業他社に対し相対的優位を得ればそれでよいと信じております。また,一番肝心なところをあまりに分かりやすく書いてしまうと,高額の報酬を支払って私の特別のアイデア等を買い取ってくださるクライアントに対して申し訳ないことになりますので,そういう最も価値あることは一切公表しません。
ところで,『ITビジネス法入門』(Tac出版)が刊行されました。情報法及びサイバー法の分野では,現時点で最も優れた書籍だと自負します。諸般の事情により,初版では不十分なところもありますが,改訂版を出すことができれば,改訂の際に完璧なものをめざしたいと考えています。1冊寄贈したいので,お手数ですが,送付先住所等をメールで教えてください。
Posted by: 夏井高人 | 2010.09.16 at 10:03