« IPA サプライチェーン上のデータ連携の仕組みに関するガイドラインβ版(蓄電池CFP・DD関係) | Main | ドイツ BSI エッジコンピューティングの安全な利用に関する推奨 »

2024.04.18

ドイツ BSI オンライン・アカウントを保護する: 2FAにおけるバイオメトリクスの可能性をもっと活用する

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が、オンライン・アカウントを保護するために、2要素認証に生体認証をもっと使えば良いのに...と推奨していますね...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.04.15 Schutz von Onlinekonten: Potenziale von Biometrie in der 2FA stärker nutzen

Schutz von Onlinekonten: Potenziale von Biometrie in der 2FA stärker nutzen オンライン・アカウントを保護する: 2FAにおけるバイオメトリクスの可能性をもっと活用する
In der vernetzten Welt sind persönliche Nutzerkonten von zentraler Bedeutung. Ob beim Onlineshopping, -banking oder in der Onlinekommunikation. Bei allen Anwendungen ist der Schutz vor fremdem Zugriff entscheidend. In einer aktuellen Untersuchung haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verbraucherzentrale Bundesverband e.V. (vzbv) unter anderem die angebotenen Verfahren der 2-Faktor-Authentisierung (2FA) zum Schutz von Onlinekonten im Verbraucherbereich betrachtet. Der Fokus lag dabei auf der Verfügbarkeit biometrischer Verfahren (z.B. Fingerabdruck, Gesichtsscan). Solche Verfahren sind laut einer vzbv-Verbraucherbefragung aus dem vergangenen Jahr aufgrund ihrer Benutzerfreundlichkeit bei den Befragten besonders beliebt. Außerdem haben die Nutzerinnen und Nutzer in die Sicherheit dieser Verfahren ein besonders hohes Vertrauen. So wird an erster Stelle der Fingerabdruck von 82 Prozent der Befragten als eher oder sehr einfach in der Anwendung und von 80 Prozent als eher oder sehr hoch in der wahrgenommenen Datensicherheit bewertet. 個人のユーザー・アカウントは、ネットワーク化された世界では中心的な重要性を持つ。オンライン・ショッピングであれ、オンライン・バンキングであれ、オンライン・コミュニケーションであれ。不正アクセスからの保護は、すべての用途において極めて重要である。最近の調査で、ドイツ連邦情報セキュリティ局(BSI)とドイツ消費者団体連盟(vzbv)は、消費者部門でオンライン・アカウントを保護するために提供されている二要素認証(2FA)方式について調べた。注目したのは、バイオメトリクス認証(指紋、顔スキャンなど)の可用性である。vzbvが昨年実施した消費者調査によると、このような方法は、使い勝手の良さから回答者に特に人気がある。また、これらの方法のセキュリティに対する信頼度も特に高い。例えば、回答者の82%は指紋を「どちらかといえば使いやすい」または「非常に使いやすい」と評価し、80%は知覚されるデータ・セキュリティの点で「どちらかといえば使いやすい」または「非常に使いやすい」と評価している。
Ein vzbv-Marktcheck im Januar 2024 ergab, dass 73 Prozent der 121 erfassten digitalen Dienste aus 13 verschiedenen Branchen eine 2FA ermöglichen. Die Ergebnisse zeigen aber auch, dass nur 46 Prozent der untersuchten digitalen Dienste biometrische Verfahren in der 2FA anbieten. Dieses Angebot konzentriert sich zudem vor allem auf Branchen, in denen Unternehmen verpflichtet sind, eine Form der 2FA anzubieten, wie Finanzinstitute und Krankenkassen. Zudem fehlen häufig Informationen über die verwendeten Verfahren oder Standards. Somit können Verbraucherinnen und Verbraucher die Sicherheit nur schwer bewerten. vzbvが2024年1月に実施した市場調査では、13の異なる分野から調査した121のデジタルサービスの73%が2FAを可能にしていることが明らかになった。しかし、調査対象となったデジタルサービスのうち、2FAでバイオメトリクス手続きを提供しているのは46%に過ぎないという結果も出ている。さらに、このサービスは主に、金融機関や健康保険会社など、企業が2FAの提供を義務付けられている分野に集中している。さらに、使用される手順や基準に関する情報が不足していることが多い。このため、消費者が安全性を評価することは困難である。
Die Ergebnisse zeigen unter anderem, dass ein breiteres Angebot von biometrischen 2FA-Verfahren im Verbrauchermarkt die Cybersicherheit erhöhen könnte, da diese Verfahren für die Verbraucherinnen und Verbraucher einfach und bequem zu handhaben sind. Gleichzeitig genießen sie eine hohe Akzeptanz. Dies hängt in hohem Maße von einer sicheren Implementierung ab. Wie Hersteller und Anbieter diese gewährleisten können, hat das BSI neben einer Bewertung der IT-Sicherheit für dieses Themenfeld in seinen Empfehlungen zur sicheren Umsetzung im gemeinsamen Ergebnisdokument zur Untersuchung zusammengefasst. この結果は、とりわけ、消費者市場におけるバイオメトリクス2FA手続きの幅が広がれば、サイバーセキュリティが向上する可能性があることを示している。同時に、これらの手続きは高いレベルで受け入れられている。これは、安全な実装に大きく依存している。BSIは、このトピック分野のITセキュリティの評価に加えて、メーカーとプロバイダーがどのようにこれを保証できるかを、この研究の共同結果文書における安全な実装のための提言にまとめている。
Die 2FA ist ein wichtiger Baustein im Digitalen Verbraucherschutz und das BSI empfiehlt, dieses Authentifizierungsverfahren immer einzusetzen, wenn der jeweilige Onlineservice es ermöglicht. So hat die Befragung des vzbv ergeben, dass dort, wo eine 2FA verfügbar ist, diese auch von rund 6 von 10 der befragten Nutzerinnen und Nutzer regelmäßig verwendet wird. Die SMS-TAN ist mit 60 Prozent das am häufigsten genutzte Verfahren, gefolgt von der Verwendung des Fingerabdrucks (34 Prozent) und des Gesichtsscans (22 Prozent). 2FAは、デジタル消費者保護の重要なビルディング・ブロックであり、BSIは、各オンライン・サービスが許可している場合、常にこの認証手順を使用することを推奨している。vzbvの調査では、2FAが利用可能な場合、調査対象ユーザーの約10人に6人が2FAを常用していることが明らかになった。SMS-TANが最も頻繁に使用される方法で60%、次いで指紋の使用(34%)、顔スキャン(22%)である。

 

 

・[PDF] Nutzung von Biometrie in der 2-FaktorAuthentisierung (2FA) - Ergebnisse einer Untersuchung des BSI und des vzbv

20240417-233906

 

目次...

1. Management Summery  1. マネジメントサマリー 
2. Marktcheck und Ergebnisse von Verbraucherbefragungen 2. 市場調査と消費者調査の結果
2.1 Marktcheck  2.1 市場調査 
2.2 Verbraucheraufruf  2.2 消費者コール 
2.3 Online-Befragung  2.3 オンライン調査 
2.4 Methoden  2.4 方法 
3. Bewertung der IT-Sicherheit biometrischer Verfahren in der 2FA  3. 2FAにおける生体認証手続きのITセキュリティ評価 
3.1 Einleitung  3.1 はじめに 
3.2 Grundsätzlicher Ablauf und Schritte biometrischer Verfahren  3.2 生体認証手続きの基本プロセスとステップ 
3.3 Wichtige Sicherheitsaspekte biometrischer Verfahren  3.3 バイオメトリクス手順における重要なセキュリティ側面 
3.3.1 Usable Security  3.3.1 利用可能なセキュリティ 
3.3.2 IT-Sicherheit  3.3.2 IT セキュリティ 
3.4 Empfehlungen  3.4 推奨事項 
4. FAQ  4 よくある質問 
5. Quellen  5 情報源 
6. Glossar  6 用語集 
7. Impressum  7 インプリント 

 

 

1. Management Summery 1. マネジメントサマリー
Mit der 2-Faktor-Authentisierung (2FA) können Nutzerkonten im Internet einfach und effektiv geschützt werden. Dieses Verfahren mittels mehrerer Faktoren, mit denen die Nutzerin oder der Nutzer sich zusätzlich bzw. alternativ zur Passworteingabe identifizieren können, ist ein wichtiger Baustein für den Digitalen Verbraucherschutz. Im März 2022 veröffentlichten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verbraucherzentrale Bundesverband (vzbv) die Ergebnisse einer gemeinsamen Untersuchung zum Stand der 2FA in Deutschland.  二要素認証(2FA)は、インターネット上のユーザー・アカウントを保護するシンプルで効果的な方法である。パスワード入力に加えて、あるいはパスワード入力の代替として、複数の要素を使ってユーザーを識別するこの手順は、デジタル消費者保護のための重要な構成要素である。2022年3月、ドイツ連邦情報セキュリティ局(BSI)とドイツ消費者団体連合会(vzbv)は、ドイツにおける2FAの現状に関する共同調査の結果を発表した。
Ein umfangreicher Markcheck zeigte, dass 72 Prozent der untersuchten Anbieter digitaler Dienstleistungen eine 2FA anboten.1 Gleichzeitig ergab eine repräsentative Online-Befragung, dass bei Verbraucherinnen und Verbrauchern ein hohes Schutzbedürfnis vorhanden ist.2 Dabei wurde jedoch ein deutliches Missverhältnis zwischen der Nutzungsabsicht und der tatsächlichen Nutzung einer 2FA festgestellt – und das in nahezu jeder Produktkategorie. So wollten beispielsweise zwar 44 Prozent der Befragten das eigene E-MailKonto mit einem zweiten Faktor absichern. Jedoch gaben nur 17 Prozent an, das auch tatsächlich zu tun.3  包括的な市場調査の結果、調査対象となったデジタル・サービス・プロバイダーの72%が2FAを提供していることが判明した1。同時に、代表的なオンライン調査の結果、消費者の保護ニーズが高いことが明らかになった2。しかし、2FAの利用意向と実際の利用との間には、ほぼすべての製品カテゴリーで明確な格差が見られた。例えば、回答者の44%が、自分の電子メール・アカウントを第2因子で保護したいと考えていた。しかし、実際にそうしていると答えたのはわずか17%だった3。
Für diese Diskrepanz konnte nicht allein das fehlende Angebot einer 2FA als Ursache herangezogen werden. Denn insbesondere die untersuchten E-Mail-Dienste boten die zusätzliche Absicherung mehrheitlich an. In 4 von 10 Fällen stand aber nur die Nutzung einer Authentisierungs-App zur Auswahl – ein Authentisierungsverfahren, das nur knapp ein Viertel der Verbraucherinnen und Verbraucher kennt (24 Prozent).4 この食い違いは、2FAが提供されていないことだけが原因ではない。というのも、分析対象となった電子メールサービスのほとんどが、追加のセキュリティを提供していたからである。しかし、10件中4件では、認証アプリの利用のみが可能であり、消費者の4分の1弱(24%)しかなじみのない認証手順であった4。
Eine erneute Auswertung des vzbv im Januar 2024 von 121 digitalen Diensten ergab, dass eine Absicherung des Nutzerkontos mittels biometrischer Merkmale bei 46 Prozent der untersuchten Anbieter möglich war (ab Seite 5). Bei der Verwendung von Biometrie in der 2FA wird der Wissensfaktor (zum Beispiel PIN oder Passwort) durch biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung ersetzt. So könnte jedoch laut BSI eine breitere Implementierung von biometrischen 2FA-Verfahren die Cybersicherheit der Verbraucherinnen und Verbraucher verbessern, da diese Verfahren einfach und bequem anwendbar sind. Dies hängt in hohem Maße von einer sicheren Umsetzung ab.  vzbvが2024年1月に実施した121のデジタル・サービスのさらなる評価では、調査したプロバイダーの46%が生体認証機能を使用してユーザー・アカウントを保護できたことが明らかになった(5ページより)。2FAで生体認証が使われる場合、知識要素(暗証番号やパスワードなど)は指紋や顔認識などの生体認証に置き換えられる。しかし、BSIによれば、バイオメトリクス2FA手続きがより広範に実施されれば、消費者のサイバーセキュリティが向上する可能性がある。これは、安全な実装に大きく依存する。
Wie Hersteller und Anbieter diese gewährleisten, fasst das BSI neben einer Bewertung der IT-Sicherheit für dieses Themenfeld in seinen Empfehlungen zur sicheren Implementierung zusammen (ab Seite 10). So sollten biometrische Systeme zum Beispiel mit einer Fälschungserkennung ausgestattet sein und auch eine Rückfall-Option auf einen anderen zweiten Faktor (Wissen/Besitz) anbieten. Darüber hinaus sollten die Verbraucherinnen und Verbraucher die Möglichkeit haben, unterschiedliche biometrische Charakteristiken (also beispielsweise mehrere Fingerabdrücke) zu hinterlegen, um diese für verschiedene Anwendungsfälle (Geräteentsperrung, Nutzung von Applikationen) nutzen zu können.  BSIは、このトピック分野のITセキュリティの評価に加え、安全な実装のための推奨事項(10ページ~)の中で、製造業者やプロバイダーがどのようにこれを確保するかをまとめている。例えば、バイオメトリクス・システムは偽造検知機能を備え、別の第二要素(知識/所有)へのフォールバック・オプションも提供すべきである。さらに、消費者は、異なるアプリケーション(デバイスのロック解除、アプリケーションの使用)に使用できるように、異なるバイオメトリック特性(例えば、複数の指紋)を保存するオプションを持つべきである。
Die häufigsten Fragen und Antworten (ab Seite 16) sowie ein Glossar (Seite 23) zur biometrischen 2FA runden das vorliegende Ergebnisdokument ab. バイオメトリクス2FAに関する最もよくある質問と回答(16ページ~)と用語集(23ページ)で、この結果文書を締めくくる。

 

 

|

« IPA サプライチェーン上のデータ連携の仕組みに関するガイドラインβ版(蓄電池CFP・DD関係) | Main | ドイツ BSI エッジコンピューティングの安全な利用に関する推奨 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« IPA サプライチェーン上のデータ連携の仕組みに関するガイドラインβ版(蓄電池CFP・DD関係) | Main | ドイツ BSI エッジコンピューティングの安全な利用に関する推奨 »