ENISA 遠隔身元証明 (Remote ID Proofing) の優れた実践
こんにちは、丸山満彦です。
少し疲れやすくなっていて、なかなか時間がとれずに、遅れ気味です...
これは、なかなか興味深い内容です...
● ENISA
・2024.03.12 Remote ID Proofing - Good practices
・[PDF]
・[DOCX] 仮訳
目次...
TABLE OF CONTENTS | 目次 |
1. INTRODUCTION | 1. 序文 |
1.1 CONTEXT | 1.1 背景 |
1.2 SCOPE | 1.2 範囲 |
1.3 METHODOLOGY | 1.3 方法論 |
1.4 TARGET AUDIENCE | 1.4 対象読者 |
1.5 STRUCTURE | 1.5 構造 |
2. BACKGROUND | 2. 背景 |
2.1 INTRODUCTION | 2.1 序文 |
2.2 SUMMARY OF REMOTE ID PROOFING METHODS | 2.2 遠隔身元証明方法の概要 |
2.3 REFERENCE TO PREVIOUS ENISA STUDIES & RESULTS | 2.3 過去のENISAの研究と結果の参照 |
2.4 DEVELOPMENTS IN LEGAL & REGULATORY REQUIREMENTS | 2.4 法的・規制的要件の進展 |
3. ATTACKS OVERVIEW | 3. 攻撃の概要 |
3.1 PRESENTATION ATTACKS | 3.1 プレゼンテーション攻撃 |
3.1.1 Overview | 3.1.1 概要 |
3.1.2 Attack Instruments | 3.1.2 攻撃手段 |
3.1.3 Attack Methods | 3.1.3 攻撃方法 |
3.2 INJECTION ATTACKS | 3.2 インジェクション攻撃 |
3.2.1 Overview | 3.2.1 概要 |
3.2.2 Attack Instruments | 3.2.2 攻撃手段 |
3.2.3 Attack Methods | 3.2.3 攻撃方法 |
3.3 IDENTITY DOCUMENT ATTACKS | 3.3 身元文書攻撃 |
3.3.1 Overview | 3.3.1 概要 |
4. GOOD PRACTICES | 4. 優れた実践 |
4.1 ENVIRONMENTAL CONTROLS | 4.1 環境の制御 |
4.2 PAD CONTROLS | 4.2 PADの制御 |
4.3 IAD CONTROLS | 4.3 IADの制御 |
4.4 IDENTITY DOCUMENT CONTROLS | 4.4 身元文書の制御 |
4.5 PROCEDURAL CONTROLS | 4.5 手続的制御 |
4.6 ORGANISATIONAL CONTROLS | 4.6 組織的制御 |
5. CONCLUSIONS | 5. 結論 |
6. BIBLIOGRAPHY AND REFERENCES | 6. 参考文献 |
6.1 BIBLIOGRAPHY | 6.1 参考文献 |
6.2 REFERENCES | 6.2 参照文献 |
6.3 ENISA PUBLICATIONS | 6.3 ENISA出版物 |
7. ANNEX A: GOOD PRACTICES OVERVIEW | 7. 附属書A:優れた実践の概要 |
8. ANNEX B: CHAPTER 3 EXAMPLES & FIGURES | 8. 附属書B:第3章 事例と図表 |
9. ANNEX C: REAL PRESENTATION ATTACK EXAMPLES | 9. 附属書C:実際のプレゼンテーション攻撃例 |
エグゼクティブサマリー...
EXECUTIVE SUMMARY | エグゼクティブサマリー |
Over the last decade, an accelerating digital transformation is being observed, which has provided numerous benefits to European society and the economy by facilitating trade and the provision of services, creating new opportunities for businesses and increasing productivity and economic gain. Furthermore, the pandemic highlighted the significance of well-regulated and standardised remote identification processes, along with trustworthy digital identities on which public and private sector organisations may rely. These elements are also emphasised in the planned eIDAS revision (eIDAS 2.0), which will provide all EU citizens with safe and transparent access to a new generation of electronic services, including the EU digital identity wallet (EUDIW). These developments are part of the Commission’s wider vision for Europe’s digital transformation, Europe’s Digital Decade ([1]), setting concrete objectives and targets for a secure, safe, sustainable and people-centric digital transformation by 2030. | この10年間で、デジタルトランスフォーメーションは加速しており、貿易やサービス提供の円滑化、ビジネスの新たな機会の創出、生産性や経済的利益の向上など、欧州社会や経済に多くの恩恵をもたらしている。さらに、パンデミックは、公的機関や民間組織が信頼できるデジタルIDとともに、十分に規制され標準化された遠隔地での本人確認プロセスの重要性を浮き彫りにした。これらの要素は、EUデジタルIDウォレット(EUDIW)を含む新世代の電子サービスへの安全で透明性の高いアクセスをすべてのEU市民に提供するために計画されているeIDASの改訂(eIDAS 2.0)においても強調されている。これらの開発は、欧州委員会の欧州のデジタル変革に関する広範なビジョンである「欧州デジタルの10年」([1])の一環であり、2030年までに安全で、安全で、持続可能で、人々を中心としたデジタル変革を実現するための具体的な目的と目標を定めたものである。 |
Digital identity and identity verification are core functions of most services foreseen in the above context. Therefore, the need for secure and reliable identity proofing services, deployable quickly, at scale and in a cost-efficient manner intensifies, since it is a key enabler for electronic transactions in the Single Digital Market, and due to the increasing volume and sophistication of attacks. | デジタル ID と ID 検証は、上記の文脈で予見されるほとんどのサービスの中核機能である。したがって、単一デジタル市場における電子取引の重要なイネーブラーであり、攻撃の量と巧妙さが増していることから、迅速かつ大規模でコスト効率の高い方法で展開可能な、安全で信頼性の高い身元証明サービスの必要性が高まっている。 |
Through this report, ENISA attempts to accomplish the following strategic goals, in the domain of trust services and electronic identification: | 本報告書を通じて、ENISA はトラストサービスおよび電子識別の領域で、以下の戦略的目標を達成しようとしている: |
• to increase stakeholders’ awareness; | ・利害関係者の意識を高める; |
• to assist in the risk analysis practices in the rapidly changing threat landscape of identity proofing; | ・身元確認という急速に変化する脅威の状況におけるリスク分析の実践を支援する; |
• to contribute to the development of stronger countermeasures, enhancing the trustworthiness and reliability of remote identity proofing (RIDP) methods. | ・より強力な対策の開発に貢献し、遠隔身元証明(RIDP)手法の信頼性と信頼性を高める。 |
The motivating factors to produce this report were: | この報告書を作成した動機は以下のとおりである: |
• the recent developments in the attack landscape, causing concerns about the trustworthiness of identity proofing; | ・最近の攻撃状況の進展により、身元証明の信頼性に懸念が生じたこと; |
• requests from various stakeholders regarding up-to-date information and guidance on defensive good practices. | ・さまざまな利害関係者から、防御的な優れた実践に関する最新の情報とガイダンスに関する要望があったこと。 |
Based on the above, the scope of this report builds and expands on the 2022 ENISA report Remote Identity Proofing – Attacks & Countermeasures ([2]), in an effort to bring novel types of threats and wider ecosystem concerns to the foreground. | 上記に基づき、本報告書の範囲は、2022 年の ENISA レポート「Remote Identity Proofing ・Attacks & Countermeasures」([2])をベースに拡張し、新たなタイプの脅威とより広範なエコシステムに関する懸念を前面に押し出すよう努めた。 |
The information and data analysis phase, which consisted of a literature review, two surveys and subsequent rounds of interviews, identified the following major attacks: | 文献レビュー、2 回の調査、およびそれに続くインタビューからなる情報・データ分析段階では、以下の主要な攻撃が特定された: |
• biometric presentation and injection attacks against a human subject’s face; | ・被験者の顔に対するバイオメトリクス・プレゼンテーションおよびインジェクション攻撃 |
• presentation and injection attacks against an identity document. | ・身元文書に対するプレゼンテーションおよびインジェクション攻撃 |
Consideration was given to the nature and developments relating to deepfake attacks and related approaches in offensive and defensive aspects. | ディープフェイク攻撃に関連する性質と進展、および攻撃と防御の側面における関連するアプローチに考察が加えられた。 |
Next, applicable countermeasures were analysed and proposed as a set of good practices in the domains of environmental, procedural, organisational and technical controls. The rate and sophistication of novel threats require a revised mindset of defence, incorporating preventive and detective approaches. | 次に、適用可能な対策が分析され、環境的、手続的、組織的、技術的制御の領域における一連のグッドプラクティスとして提案された。新奇な脅威の速度と巧妙さには、予防と検知のアプローチを取り入れた、防衛の考え方の見直しが必要である。 |
The report briefly examines attacks relating to identity documents that take place during the evidence validation and information binding phase of RIDP. The two most prominent good practices for defending identity documents were the status lookups in various identity document registries and the scanning of the near-field communication (NFC) chip (where available). | 本報告書では、RIDP の証拠検証および情報結合の段階で行われる ID 文書に関連する攻撃を簡単に検 証する。ID 文書を防御するための 2 つの最も顕著な優れた実践は、さまざまな 身元文書登録でのステータス検索と、近距離無線通信(NFC)チップ(利用可能な場 合)のスキャンであった。 |
Both practices have their own obstacles in the course of their full realisation. Many of the identity document registries are maintained on a voluntary basis and a central, up-to-date registry with all the latest document versions of each Member State does not currently exist. On the other hand, while scanning the NFC chip to verify the holder´s personal information and biometric photo could eliminate several of the synthetic attacks, it is not currently legally and consistently permitted for private entities (trust service providers (TSPs), RIDP providers) across the EU. The inconsistent state of NFC-reading can be thought of as a part of the wider scattered regulatory landscape across the EU relating to the recognition of the remote nature of identity proofing and the assurance level it can provide. | どちらの実践も、その完全な実現にはそれなりの障害がある。身元文書登録の多くは任意ベースで維持されており、各加盟国のすべての最新文書 バージョンを持つ中央の最新登録は現在存在しない。他方、NFC チップをスキャンして所持者の個人情報とバイオメトリクス写真を検証することで、 いくつかの合成攻撃を排除することができるが、現在、EU 全体の民間事業体(トラスト・サービス・ プロバイダ(TSP)、RIDP プロバイダ)には法的に一貫して許可されていない。NFC 読み取りの一貫性のない状態は、身元確認の遠隔の性質とそれが提供できる保証レベルの認識に関連する、EU 全域に散在するより広範な規制状況の一部と考えることができる。 |
Finally, the report highlights wider concerns of the landscape, unrelated to attacks or technical topics, but capable of affecting the secure adoption and execution of RIDP methods across the EU. | 最後に、この報告書は、攻撃や技術的なトピックとは無関係であるが、EU 全体の RIDP 手法の安全な採用と実行に影響を与える可能性のある、より広範な状況の懸念を強調している。 |
参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.06.14 ENISA トラストサービス-eIDASエコシステムのクラウドへの安全な移転
・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります
・2021.03.12 ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表
・2021.02.17 ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状)
« 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14) | Main | 国連 総会で人工知能 (AI) に関する決議を採択 »
Comments