ENISA デジタルID標準

こんにちは、丸山満彦です。

こいうのをまとめたいなぁと思っていたら、ENISAからでました。。。彼らも複雑になって整理しないとずっと思っていたんでしょうね。。。

まぁ、複雑ということがよくわかりました。。。

 

● ENISA

・2023.07.03 Digital Identity Standards

 

Digital Identity Standards

デジタル ID 標準

This report gives an overview of the most important standards and standardisation organisations in this area. This information is useful for the novice, to find out what is available, but also for more experienced readers who might not be aware of some (parts of) existing standards. It also provides an analysis of standards related to different means supporting digital identity. This covers means created and managed by trust services, electronic identification means and the EU Digital

この報告書では、この分野で最も重要な標準および標準化組織の概要を示す。この情報は、初心者が利用可能なものを調べるのに役立つだけでなく、 既存の標準の一部（の一部）を知らない可能性のある経験豊富な読者にも役立つ。また、デジタル ID をサポートするさまざまな手段に関連する標準の分析も提供する。これは、トラスト・サービス、電子 ID 手段、および EU デジタル・アイデンティティによって作成および管理される手段を対象としている。

 

・[PDF]

・[DOCX] 仮訳

 

 

目次...

1.   INTRODUCTION	1. はじめに
1.1.  PURPOSE OF THIS DOCUMENT	1.1. 本文書の目的
1.2.  DIGITAL IDENTITY STANDARDS	1.2. デジタル ID 標準
1.3.  RELATED EUROPEAN UNION LEGISLATION	1.3. 欧州連合関連法
2.   SCOPE	2. 適用範囲
2.1.  BASIC MODEL	2.1.基本モデル
2.1.1. Digital identity	2.1.1.デジタル ID
2.1.2. Means to support digital identity	2.1.2.デジタル ID を支援する手段
2.1.3. Supporting services	2.1.3.支援サービス
2.2.  SCOPE OF THE ANALYSIS	2.2.分析範囲
3.   SETTING THE SCENE	3. シーンの設定
3.1.  ROLE OF DIGITAL IDENTITY STANDARDS	3.1.デジタル ID 標準の役割
3.2.  STANDARDISATION ORGANISATIONS	3.2.標準化団体
3.2.1. European standardisation organisations and standards	3.2.1.欧州標準化機構（ESO）と標準
3.2.2. International standardisation organisations and standards	3.2.2.国際標準化機構（SDO）と標準
3.2.3. National standardisation bodies and specialised agencies	3.2.3.国家標準化機関及び専門機関
3.2.4. Industrial bodies	3.2.4.産業団体
3.3.  TOPICS	3.3.トピックス
4.   ANALYSIS	4. 分析
4.1.  EACH GROUP OF STANDARDS	4.1.各標準群
4.2.  GENERAL GROUPS OF STANDARDS	4.2.一般的な標準群
4.2.1. General standards used in identity management	4.2.1.ID 管理で使用される一般標準
4.2.2. General standards used in trust services	4.2.2.信託業務で使用される一般的な基準
4.3.  SPECIFIC GROUPS OF STANDARDS PROVIDING AUTHENTICATION CAPABILITIES	4.3.認証機能を提供する特定の標準群
4.3.1. International Civil Aviation Organization electronic machine-readable travel documents and the eIDAS token	4.3.1.国際民間航空機関の電子機械可読渡航文書とeIDASトークン
4.3.2. Mobile driving licences / mobile documents and mobile electronic identification	4.3.2.モバイル運転免許証（mDL/mdoc）とモバイルeID
4.3.3. X.509 certificates (public key infrastructure and privilege management infrastructure)	4.3.3.X.509 証明書（PKI-PMI）
4.3.4. Security Assertion Markup Language and the eIDAS regulation	4.3.4.セキュリティ・アサート・マークアップ言語とeIDAS規則
4.3.5. OpenID Connect	4.3.5.OpenIDコネクト
4.3.6. FIDO2	4.3.6.FIDO2
4.3.7. Self-sovereign identity	4.3.7.自己主権的アイデンティティ
4.4.  SPECIFIC GROUPS OF STANDARDS NOT PROVIDING AUTHENTICATION CAPABILITIES	4.4.認証機能を提供しない特定の標準標準グループ
4.4.1. Advanced electronic signatures/seals	4.4.1.高度な電子署名/シール（AdES）
4.4.2. Electronic registered delivery service evidence	4.4.2.ERDSのエビデンス
4.5.  SUMMARY	4.5.要約
5.   RECOMMENDATIONS	5. 提言
5.1.  EUROPEAN UNION POLICYMAKERS	5.1.欧州連合の政策立案者
5.2.  EUROPEAN STANDARDISATION ORGANISATIONS	5.2.欧州標準化機構
5.3.  EUROPEAN UNION AGENCY FOR CYBERSECURITY	5.3.欧州連合サイバーセキュリティ機関
ANNEX: ANALYSIS – DIGITAL IDENTITY WALLETS	附属書 A：分析 - デジタル ID ウォレット
A.1. INTRODUCTION TO DIGITAL IDENTITY WALLETS	A.1.デジタル ID ウォレットの紹介
A.2. STANDARDS RELATING TO THE EUROPEAN DIGITAL IDENTITY WALLET	A.2.欧州デジタル ID ウォレットに関する基準
A.3. ANALYSIS	A.3.分析
A.3.1.Functional requirements	A.3.1.機能要件
A.3.2.Interface requirements	A.3.2.インターフェース要件

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
Digital services and electronic transactions are becoming more and more important. This trend has been accelerated by the COVID-19 restrictions limiting in-person contact, which increased digital interactions between people around the world. However, electronic transactions in which the identities of parties cannot be trusted give rise to fraud. Digital identity – that is, the identification of a legal or natural person or an entity within an electronic service – is more important than ever.	デジタルサービスや電子取引の重要性はますます高まっている。この傾向は、COVID-19の制限によって直接の接触が制限され、世界中の人々のデジタル交流が活発化したことで加速している。しかし、当事者の身元が信頼できない電子取引は詐欺を生む。デジタル・アイデンティティ、すなわち電子サービス内での法人または自然人、あるいは事業体の識別は、これまで以上に重要になっている。
‘Digital identity’ is defined, for the purpose of this document, as a unique representation of a subject engaged in an online transaction. This contains two elements constituting the role of digital identity: to represent a subject and to support an online transaction. ‘Identity’ itself can be defined as a set of attributes related to an entity.	「デジタル ID」は、本文書の目的上、オンライン取引に従事する主体の一意の表現として定義される。これには、デジタル ID の役割を構成する 2 つの要素が含まれる。すなわち、対象者を表 現することと、オンライン取引を支援することである。「ID」自体は、エンティティに関連する一連の属性として定義することができる。
There is a multitude of standards in the area of digital identity. The goal of this document is to give an overview of the most important standards and standardisation organisations in this area. This information is useful for the novice, to find out what is available, but also for more experienced readers who might not be aware of some (parts of) existing standards. It also provides an analysis of standards related to different means supporting digital identity. This covers means created and managed by trust services, electronic identification means and the EU Digital Identity Wallet.	デジタル ID の分野には多数の標準がある。本文書の目的は、この分野で最も重要な標準および標準化組織の概要を示すことである。この情報は、初心者が利用可能なものを見つけるのに役立つだけでなく、 既存の標準の一部（の一部）を知らない可能性のある経験豊富な読者にも役立つ。また、デジタル ID を支援するさまざまな手段に関連する標準の分析も提供する。これには、トラスト・サービス、電子 ID 手段、および EU デジタル ID ウォレットによって作成および管理される手段が含まれる。
Digital identity standards cover several areas. They can describe policies; services issuing or managing digital identity means; formats and protocols to be used; ways of auditing related services; requirements for secure devices; or recommended processes and algorithms.	デジタル ID 標準は、いくつかの分野をカバーする。ポリシー、デジタル ID 手 段を発行または管理するサービス、使用される形式およびプロトコル、関連サービスの監査 方法、安全な装置の要件、または提言プロセスおよびアルゴリズムを記述することができる。
Digital identity standards have been developed due to the increasing demand for secure, reliable and cross-recognised digital transactions, fuelled by several governmental digital transformation programmes and the COVID-19 restrictions. The standardisation efforts involve several layers of digital identities, extending from the policy and governance level down to the operational and technical specifications level. They also address several elements and technologies supporting digital identities, such as electronic certificates, person identification, signature devices and cybersecurity aspects.	デジタル ID 標準は、いくつかの政府のデジタル変革プログラムやCOVID-19 制限に後押しされ て、安全で信頼性が高く、相互に認識されるデジタル取引に対する要求が高まっているため に開発された。標準化の取り組みには、政策およびガバナンス・レベルから運用および技術仕様レベルま で、デジタル ID のいくつかの層が関わっている。また、電子証明書、本人確認、署名装置、サイバーセキュリティの側面など、デジタル ID を支えるいくつかの要素や技術にも取り組んでいる。
The following criteria are considered in the analysis of available standards:	利用可能な標準の分析においては、以下の基準が考慮される：
•  coverage of the identity management life cycle,	• アイデンティティ管理のライフサイクルをカバーする
•  maturity of the standards,	• スタンダードの成熟度
•  authentication capabilities (in person versus remote, online versus offline),	• 認証機能（対面か遠隔か、オンラインかオフラインか）、
•  user sole control and dependencies, for example whether ‘call home’ is needed,	• ユーザー単独でのコントロールと依存関係、例えば「コールホーム」が必要かどうかなど、
•  data-protection-enhancing technologies, for example selective disclosure,	• データ保護強化技術、例えば選択的開示
•  trust model.	• 信頼モデル
Based on this analysis, we propose a series of recommendations on the digital identity standardisation requirements in support of cybersecurity policy standards for various groups of stakeholders: EU policymakers, European Standardisation Organisations (ESOs) and ENISA.	この分析に基づき、さまざまな利害関係者グループ：EU の政策立案者、欧州標準化機構（ESO）、ENISA に対して、サイバーセキュリティ政策標準 を支援するデジタル ID 標準化要件に関する一連の勧告を提案する。

 

 

提言...

5. RECOMMENDATIONS	5. 提言
Based on the analysis provided in Chapter 4, we propose the following recommendations on Digital Identity standardisation requirements in support of cybersecurity policy standards for various groups of stakeholders.	第 4 章の分析に基づき、さまざまな利害関係者グループに対するサイバーセキュリティ政 策標準を支援するデジタル ID 標準化要件について、以下の提言を提案する。
5.1. EUROPEAN UNION POLICYMAKERS	5.1. 欧州連合の政策立案者
Recommendation 1	提言1
EU policymakers should provide a clear legal definition of the term Digital Identity. The revised eIDAS regulation may be the right vehicle through which to define it. This definition should be inspired by the current ISO/IEC 24760-1:2019 standard, which provides a definition of Identity (not Digital Identity)	EU の政策立案者は、デジタル ID という用語の明確な法的定義を示すべきである。改正 eIDAS 規制は、それを定義する適切な手段である。この定義は、現在の ISO/IEC 24760-1:2019 標準に触発されるべきであり、この標準は（デジタル ID ではなく）Identity の定義を提供している。
Recommendation 2	提言2
In the context of the EU Digital Identity Wallet, EU policymakers should make use of the new Digital Markets Act to provide direct access from the Mobile Application to the security anchor provided by EU CC certified secure elements available on smartphones. This direct assessment will help create a Trusted Mobile EU Digital Identity. This recommendation should be complemented by a new standardisation request to the European Standardisation Organisations, to develop a unique API from the mobile application to the security anchor provided by the secure element certified by the EU cybersecurity certification scheme. This is crucial for the provision of full interoperability by various smartphone manufacturers.	EU デジタル ID ウォレットの文脈では、EU の政策立案者は、新しいデジタル市場法を利用し て、スマートフォンで利用可能な EU CC 認証セキュア・エレメントが提供するセキュリテ ィ・アンカーにモバイル・アプリケーションから直接アクセスできるようにすべきである。この直接的な評価は、信頼されるモバイル EU デジタル ID の構築に役立つ。この勧告は、モバイル・アプリケーションから、EUサイバーセキュリティ認証スキームによって認証されたセキュア・エレメントが提供するセキュリティ・アンカーへのユニークなAPIを開発するための、欧州標準化機関への新たな標準化要求によって補完されるべきである。これは、さまざまなスマートフォン・メーカーが完全な相互運用性を提供するために極めて重要である。
Recommendation 3	提言3
EU policy should consider the need of the EU Mobile Application security and privacy evaluation methodology as a strategic issue and not only as a technical issue. CEN/CENELEC JTC13 should be empowered to define it in fast-track mode.	EUの政策は、EUモバイルアプリケーションのセキュリティとプライバシーの評価手法の必要性を、技術的な問題としてだけでなく、戦略的な問題として考慮すべきである。CEN/CENELEC JTC13は、ファストトラックモードでこれを定義する権限を与えられるべきである。
Recommendation 4	提言4
EU policymakers should create a new mandate requiring European standardisation organisations to standardise the EUDI Wallet interfaces with QTSP, Relying Parties, Device, existing national eID documents (eID, E-pass, e-resident permit card, eDL) and existing eIDAS Nodes infrastructures. This mandate should cover methods for recognition and authentication by relying parties through the EUDI Wallet.	EUの政策立案者は、QTSP、依拠当事者、デバイス、既存の国家eID文書（eID、E-pass、e-居住許可証、eDL）、既存のeIDASノード・インフラとのEUDIウォレット・インターフェイスを標準化することを欧州の標準化組織に要求する新しいマンデートを作成すべきである。このマンデートは、EUDIウォレットを通じた依拠当事者による認識と認証の方法をカバーすべきである。
Recommendation 5	提言5
EU policymakers should create a new mandate requiring European standardisation organisations to standardise a privacy evaluation methodology for general Digital Identity and more precisely for the EU Digital Identity Wallet.	EU の政策立案者は、一般的なデジタル ID、より正確には EU デジタル ID ウォレットのプライバシー評 価方法を標準化するよう、欧州の標準化組織に義務付ける新しいマンデートを作成すべきである。
5.2. EUROPEAN STANDARDISATION ORGANISATIONS	5.2. 欧州標準化機構
Recommendation 6	提言6
Strong coordination and a clear division of responsibility between the European standardisation organisations should be defined, in terms of the standardisation activities, to avoid duplication of activities. The European standardisation organisations should also make use of the work on the toolbox process that was used to produce the European Digital Identity Architecture and Reference Framework Outline (ARF outline).	活動の重複を避けるため、標準化活動に関して、欧州標準化組織間の強力な調整と明確な責 任分担を定義する必要がある。欧州の標準化組織は、欧州デジタル ID アーキテクチャおよび参照フレームワーク概要（ARF 概 要）の作成に使用されたツールボックスプロセスの作業も利用すべきである。
Recommendation 7	提言7
No existing European standard for Mobile Application assessment methodology is available at European level, making it difficult to reference applicable standards in EU legislation.	欧州レベルでは、モバイルアプリケーションの評価方法に関する既存の欧州基準が存在しないため、EU法制において適用可能な基準を参照することが困難である。
Efforts should be made to address this gap.	このギャップを解消する努力がなされるべきである。
Recommendation 8	提言8
European standardisation organisations should adopt ISO/IEC 18013-5 and the ISO/IEC DIS 23220 series as European norms.	欧州の標準化組織は、ISO/IEC 18013-5とISO/IEC DIS 23220シリーズを欧州の標準として採用すべきである。
Benefits of such regional adoption in the case of European norms include:	欧州の規範の場合、このような地域的な採用の利点には次のようなものがある：
•  harmonisation within Europe makes it easier to comply with European rules and regulations (avoiding standstills in national work in this area);	•            欧州内でのハーモナイゼーションは、欧州の規則や規制への準拠を容易にする（この分野での各国の作業の停滞を避ける）；
•  documents can be targeted to European needs;	•            欧州のニーズに合わせて文書を作成することができる；
•  consensus building within Europe is easier than in the global context.	•            欧州内での合意形成は、グローバルな状況よりも容易である。
The potential adoption of ISO/IEC 18013-5 and/or the ISO/IEC DIS 23220 series as European standards will help to harmonise European approaches towards Digital Identity.	ISO/IEC 18013-5 および/または ISO/IEC DIS 23220 シリーズが欧州標準として採用される可能性があ ることは、デジタル ID に対する欧州のアプローチの調和に役立つ。
Recommendation 9	提言9
European standardisation organisations should define a harmonised mutual authentication protocol between the EUDI Wallet and the Relying Parties. This should be in line with the QWAC approach.	欧州の標準化組織は、EUDIウォレットと依拠当事者間の調和された相互認証プロトコルを定義すべきである。これはQWACアプローチに沿ったものであるべきである。
Recommendation 10	提言10
European standardisation organisations should prepare a generic code-of-conduct methodology to be applied to the (Q)TSP and the EUDI Wallet. This methodology should reference current CEN/CENELEC Joint Technical Committee 13 cybersecurity and evaluation standards and the incorporation of the ISO/IEC 27005 standard on cybersecurity risk management into national law.	欧州の標準化機関は、(Q)TSPとEUDIウォレットに適用される汎用的な行動規範の方法論を準備すべきである。この方法論は、現行のCEN/CENELEC合同技術委員会13のサイバーセキュリティと評価基準、およびサイバーセキュリティのリスク管理に関するISO/IEC 27005標準の国内法への組み込みを参照すべきである。
5.3. EUROPEAN UNION AGENCY FOR CYBERSECURITY	5.3. 欧州連合サイバーセキュリティ機関
Recommendation 11	提言11
ENISA should publish, on a regular basis, an overview of endorsed Digital Identity standards concerning different domains and sectors.	ENISA は、さまざまなドメインおよびセクターに関して承認されたデジタル ID 標準の概 要を定期的に公表する必要がある。
Recommendation 12	提言 12
ENISA should publish an overview of existing Digital Identity Models in Europe and beyond and identify their impact in terms of cybersecurity standards.	ENISA は、欧州内外の既存のデジタル ID モデルの概要を公表し、サイバーセキュリティ基準の観点か らの影響を特定すべきである。
Recommendation 13	提言13
ENISA should encourage and support the creation of an ad hoc group to address potential vulnerabilities related to digital identity systems and the EUDI Wallet.	ENISA は、デジタル ID システムおよび EUDI ウォレットに関連する潜在的な脆弱性に対処する ためのアドホック・グループの作成を奨励および支援すべきである。
Recommendation 14	提言14
ENISA should work closely with European standardisation organisations in fulfilling potential EU standardisation requests.	ENISAは、EUからの潜在的な標準化要請を満たすために、欧州の標準化団体と緊密に協力すべきである。
Recommendation 15	提言15
ENISA should establish a mechanism for assisting EU institutions, bodies and agencies, EU Member States and private organisations regarding various aspects of Digital Identity management.	ENISA は、デジタル ID 管理のさまざまな側面に関して EU の機関、団体、機関、EU 加盟国、民間組織を支援するメカニズムを確立すべきである。