PKI Day 2016 デジタルWatashiアプリ 平 成 28 年 4 22 経 済 産 業 省 CIO 補 佐 官 満 塩 尚 史
デジタルwatashiアプリの 取 り 組 みの 観 点 ID 連 携 に 基 づくデータ 活 官 連 携 を 想 定 し 政 機 関 が 保 有 するデータと 間 が 推 進 するサービスの 連 携 を 個 の 管 理 の 下 で 実 施 できる 仕 組 みを 検 討 する 必 要 があるのではないか オンライン 完 結 社 会 の 実 現 対 書 類 の 撤 廃 等 オンラインで 完 結 した 社 会 を 指 すには デジタルであることを 前 提 にする(デジタル デフォルト) ことに 配 慮 する 必 要 があるのではないか マイナンバー 制 度 の 活 マイナンバー 制 度 ( 券 表 マイナポータル 個 番 号 カード 内 に 格 納 された 公 的 個 認 証 を 含 む)を 間 サービ スで 利 する 場 合 には 利 者 が 受 けたい サービスにおいて ペルソナを 使 い 分 けること( 情 報 のコントロール) が 可 能 な 環 境 が 必 要 ではないか 例 : 基 本 4 情 報 ( 名 住 所 年 性 別 )を 提 供 事 業 者 に 律 に 渡 すのではなく サービスによって 渡 す 情 報 を 調 整 できる 等 普 及 促 進 全 ての 関 係 者 にID 連 携 を 分 かり 易 く 理 解 できるルール 仕 組 みの 整 備 として ID 連 携 トラストフレームワークとしてID 連 携 の せ をルール 化 し トラストフレームワーク 内 で 共 通 化 を 図 っていくべきではないか 全 ての 関 係 者 にID 連 携 によるメリットを 理 解 できる 事 例 を 検 討 すべきではないか 1
マイナンバー 制 度 の 間 活 の 可 能 性 のある 分 野 (1)マイナンバー 自 体 (2) 個 人 番 号 カードの 公 的 個 人 認 証 の 民 間 利 用 (3) 個 人 番 号 カードの 空 き 容 量 123456789101 (4) 個 人 番 号 カードのサブカード (スマホSIMの 利 用 など) (5)マイナポータルにおける 民 間 サービス の 提 供 マイナポータル 公 的 個 人 認 証 機 能 電 子 私 書 箱 機 能 注 ) 間 活 の 可 能 性 に 関 しては 間 活 するにあたっては 法 律 改 正 等 を 必 要 する 場 合 もあります 2
公 的 個 人 認 証 の 民 間 活 用 について 1. 個 人 番 号 カードの 認 証 による 民 間 サイトでのビジネスの 創 出 民 間 事 業 者 利 用 者 初 回 : 公 的 個 人 認 証 (カードリーダとカードで 認 証 ) 二 回 目 以 降 :ID パスワード 認 証 氏 名 住 所 生 年 月 日 性 別 顔 画 像 情 報 本 人 確 認 が 迅 速 かつ 簡 便 個 人 の 信 用 力 を 高 める 効 果 セキュリティレベルが 高 いので 安 心 クレジットカード 会 社 先 物 取 引 会 社 ビデオレンタル オークションサイト お 見 合 いサイト 個 人 間 の 仕 事 の 依 頼 (クラウドソーシング) ショッピングサイト ネット 証 券 ネット 先 物 取 引 電 子 証 明 書 の 有 効 性 確 認 地 方 公 共 団 体 情 報 システム 機 構 (J LIS) 電 子 証 明 書 サーバ < 課 題 > 新 ビジネス 創 出 民 間 サイトがJ-LISから 失 効 情 報 を 取 得 するには 総 務 大 臣 の 認 定 を 受 けて J-LISへの 届 け 出 が 必 要 この 認 定 基 準 に 対 応 できるのか 民 間 企 業 では 検 討 が 必 要 民 間 企 業 において ビジネスが 成 り 立 つか どうかに J-LISによる 有 効 性 確 認 の 手 数 料 が 影 響 するが 例 えば 入 会 時 に 公 的 個 人 認 証 を 行 うとともに IDパスワードを 発 行 すれば その 後 のログインでは 手 数 料 は 発 生 しなくなる 個 人 番 号 カードの 空 き 容 量 の 民 間 活 用 は 政 令 制 定 が 必 要 であり 機 動 性 に 欠 けるため 公 的 個 人 認 証 の 方 が 民 間 活 用 に 適 当 との 意 見 がある 3
2. 個 人 番 号 カードに 紐 づけたスマホ 等 を 活 用 したビジネスの 創 出 電 子 証 明 書 の 有 効 性 確 認 地 方 公 共 団 体 情 報 システム 機 構 (J LIS) 電 子 証 明 書 サーバ 氏 名 住 所 生 年 月 日 性 別 顔 画 像 情 報 初 回 : 公 的 個 人 認 証 (カードリーダとカードで 認 証 ) 二 回 目 以 降 :ID パスワード 認 証 スマホ 等 に 紐 づける 事 業 者 紐 づけの 依 頼 (ICカード 認 証 が 必 要 ) 個 人 番 号 カードと スマホなどの 紐 づけ 利 用 者 ID パスワード の 発 行 スマホなど 所 属 会 社 等 のデータ 情 報 やアプリの 追 加 電 子 身 分 証 電 子 ポイントカード 電 子 興 行 チケット 新 ビジネス 創 出 電 子 診 察 券 氏 名 ( 旧 姓 ペンネーム) 所 属 会 社 ニックネーム 生 年 月 日 ニックネーム 生 年 月 日 ファンクラブ 会 員 情 報 氏 名 生 年 月 日 性 別 民 間 事 業 者 民 間 企 業 読 み 取 り 用 スマホ ポイント 会 社 イベント 会 社 医 療 機 関 これまでの 施 策 企 業 が 個 人 データを 利 用 する 際 に データを 共 有 する 企 業 間 で 遵 守 するルールのひな 形 等 を 作 成 (ID 連 携 トラストフ レームワーク) データの 情 報 交 換 に 関 する 実 証 事 業 ( 訪 日 外 国 人 向 けおも てなしサービス) 今 後 の 施 策 民 間 企 業 の 参 入 を 促 進 させるために 民 間 企 業 とともに 民 間 サイトがJ LISに 認 証 してもらう 上 での 課 題 を 抽 出 する 民 間 サイトがJ LISに 認 証 してもらうことに 関 連 して 実 証 事 業 を 行 う 4
公 的 個 認 証 サービスの プラットフォーム 事 業 者 の 活 ( 総 務 省 資 料 より) ID 連 携 トラストフレームワークの 適 用 5
の 写 像 (ペルソナ) 場 面 に 応 じて 自 然 に 使 い 分 ける 本 人 確 認 なしでは なりすましの 可 能 性 を 高 くする ビジネス 上 の 私 政 における 個 真 の 物 像 マイナンバー 法 の 正 式 名 称 : 政 続 における 特 定 の 個 を 識 別 するための 番 号 の 利 等 に 関 する 法 律 プライベートな 私 6
ペルソナによるシーンや 個 の 属 性 情 報 の 違 い ペルソナ シーン 主 な 個 人 の 属 性 情 報 行 政 における 個 人 市 役 所 区 役 所 等 で 行 政 手 続 きを 行 う 納 税 者 として 納 税 をする 社 会 保 障 の 保 険 料 等 を 支 払 う 行 政 機 関 の 長 や 議 員 等 の 投 票 をする 社 会 保 障 の 手 当 等 を 受 け 取 る ビジネス 上 の 私 会 社 の 社 内 で 仕 事 をする 他 社 の 社 員 と 打 ち 合 わせをする ビジネスについて 講 演 を 行 う 会 社 の 備 品 を 購 入 する プライベートな 私 週 末 の 買 い 物 をする 夜 中 にネットショッピングする 治 療 のため 病 院 に 行 く 趣 味 のイベントに 参 加 する マイナンバー 使 い 分 け 氏 名 住 民 票 上 の 住 所 生 年 月 日 性 別 納 税 情 報 保 険 料 の 支 払 い 情 報 会 社 名 部 署 名 勤 務 先 住 所 肩 書 き 業 務 上 の 資 格 氏 名 ニックネーム( 旧 姓 ペン ネーム) ニックネーム(ハンドルネーム) 居 住 地 住 所 物 の 送 付 先 住 所 金 銭 の 支 払 能 力 ファンクラブ 会 員 番 号 7
デジタルwatashiアプリイメージ 政 における 個 本 人 確 認 し デジタルwatashiアプリをつくる シーンによって 使 い 分 ける ビジネス 上 の 私 プライベートな 私 シーンによって 使 い 分 ける 真 の 物 像 8
ID 連 携 トラストフレームワーク 基 準 の 構 成 策 定 した 基 準 の 構 成 と 各 文 書 が 対 象 としている 範 囲 を 以 下 に 示 す 文 書 番 号 00: 文 書 体 系 文 書 番 号 10:ポリシー 策 定 者 に 対 する 要 求 事 項 組 織 の 成 熟 度 第 三 者 機 関 としての 公 平 性 各 種 規 定 の 策 定 プロセス ポリシー 策 定 者 (Policy Maker) 認 定 文 書 番 号 20:アイデンティ ティ 連 携 トラストフレーム ワーク 指 針 組 織 の 成 熟 度 個 人 情 報 保 護 方 針 保 証 プロセス 審 査 認 証 プロセス 審 査 員 の 資 格 認 定 信 頼 付 与 機 関 (Trust Framework Provider) 組 織 認 証 文 書 番 号 40: 信 頼 付 与 機 関 に 関 する 要 求 事 項 審 査 員 組 織 認 証 認 証 審 査 認 証 審 査 組 織 の 成 熟 度 個 人 情 報 保 護 方 針 登 録 および 身 元 確 認 プロセス クレデンシャルおよび 発 行 プロセス IdP ID 連 携 組 織 の 成 熟 度 個 人 情 報 保 護 方 針 RP 登 録 ( 身 元 確 認 ) 利 用 者 認 証 ( 当 人 確 認 ) サービス 利 用 文 書 番 号 30: 認 定 アイデンティティスキーム 及 びプロファイル 9
保 証 レベルと 信 頼 レベル 日 本 版 の 基 準 案 では サービスの 種 類 によって 身 元 確 認 と 当 人 確 認 のレベルを 分 けているサービスが 存 在 するため 保 証 レベル(アイデンティティに 関 する 信 用 の 程 度 )を 身 元 確 認 保 証 レベルと 当 人 確 認 保 証 レベルを 分 けて 規 定 ( 米 国 ICAM 基 準 では 全 体 を 通 した 保 証 レベルしか 規 定 していない) また 米 国 ICAM 基 準 では RPが 政 府 機 関 であるため 基 準 がなく 日 本 では 民 間 事 業 者 同 士 の 連 携 が 想 定 されることから プライバシー 及 び 個 人 情 報 保 護 信 頼 レベル(プライバシー 及 び 個 人 情 報 保 護 の 信 用 の 程 度 )を 新 たに 規 定 区 分 身 元 確 認 保 証 レベル ( 登 録 時 のレベルを 規 定 ) 評 価 軸 登 録 トークン 保 証 レベル 当 人 確 認 保 証 レベル(トークン, トークン 及 びクレデンシャル 管 理, 認 証 プロセス, アサー ション 等 のレベルを 規 定 ) 全 体 保 証 レベル( 米 ICAMで 規 定 されているもの) トークン 及 びクレ デンシャル 管 理 認 証 プロセス ビジネス 上 の 私 プライベートな 私 アサーション 信 頼 レベル プライバシー 及 び 個 人 情 報 保 護 信 頼 レベル プライバシー 及 び 個 人 情 報 保 護 レベル1 ( 低 ) レベル2 ( 中 ) レベル3 ( 高 ) レベル4 ( 特 高 ) ( 対 面 / 非 対 面 ) 自 己 申 告 / 身 元 確 認 は 不 要 レベル1+ ( 対 面 / 非 対 面 ) 身 分 証 明 書 の 提 示 ( 対 面 ) 写 真 付 き 公 的 身 分 証 明 書 の 提 示 ( 非 対 面 ) 公 的 身 分 証 及 び 金 融 / 携 帯 電 話 の 個 別 番 号 を 提 示 申 請 情 報 を 記 録 と 照 合 ( 対 面 )LV2に 加 え 申 請 情 報 を 記 録 と 照 合 録 音 等 による 否 認 防 止 ( 非 対 面 )LV2に 加 え 申 請 情 報 を 公 的 機 関 および 金 融 / 携 帯 事 業 者 の 記 録 と 照 合 録 音 等 による 否 認 防 止 ( 対 面 のみ) 写 真 付 き 公 的 身 分 証 明 書 2 種 又 は 公 的 身 分 証 及 び 金 融 / 携 帯 電 話 の 個 別 番 号 を 提 示 全 ての 申 請 情 報 を 記 録 と 照 合 生 体 情 報 の 記 録 単 要 素 認 証 ( 例 )パスワード(6 桁 以 上 ) 秘 密 の 質 問 ( 最 低 5 問 から 選 択 ) 等 単 要 素 認 証 ( 例 )パスワード(8 桁 以 上 ) 秘 密 の 質 問 ( 最 低 7 問 から 選 択 ) 数 値 のマトリックス が 記 載 されたカード SMSで 送 られるワ ンタイムパスワード ワンタイムパス ワード 機 器 ICカード 等 多 要 素 認 証 ( 例 ) 認 証 時 にパスワード 入 力 を 求 める SSLクライアント 認 証 ICカード+パス ワード 等 多 要 素 認 証 トークン 機 器 ( 例 ) 暗 証 番 号 認 証 付 きワンタイムパス ワード 機 器 指 紋 認 証 付 きICカード 等 等 の デ ン ト ー ク 基 テ 準 ィ ン の 発 行 保 管 方 法 デジタルwatashi 認 証 アプリ テ ィ 失 効 等 の 運 用 ル ー ル ア イ る 認 脅 証 威 プ に ロ 対 セ す ス る 実 基 行 準 時 に 想 定 さ れ ICカードの 電 子 署 名 による 認 証 る ア 脅 サ 威 ー に シ 対 ョ す ン 利 る 用 基 時 準 に 想 定 さ れ 状 プ 況 ラ 証 イ 明 バ の シ 程 ー 度 及 の 基 び 準 個 人 情 報 保 護 行 政 機 関 における 個 人 10
デジタルWatashiアプリの 具 体 化 11
デジタルwatashiアプリのご 紹 介 属 性 情 報 表 示 機 能 主 に 対 面 利 用 を 想 定 した 基 本 情 報 や 属 性 情 報 等 を 表 示 する 機 能 多 要 素 帯 域 外 認 証 機 能 主 にオンライン サービスの 認 証 に スマートフォンを 認 証 装 置 として 利 用 する 機 能 2つの 機 能 を 持 ったアプリの 総 称 12
デジタルwatashiアプリの 利 例 1デジタルwatashiアプリに 格 納 した 診 察 券 やお 薬 帳 の 情 報 を 活 するシーン 診 察 券 3デジタルwatashiアプリを スマートフォンにダウン ロードするシーン 4 保 証 書 サービスにリコール 通 知 のあった 製 品 を デジタルwatashiアプリの 情 報 を 連 携 して 修 理 依 頼 する シーン 2 払 った 医 療 費 や 薬 代 をオンライン 家 計 簿 に 連 携 し 確 定 申 告 するシーン 13
14
15
16
デジタルwatashiアプリのプロトコル J-LIS 初 回 のみの 操 作 デジタル watashi 登 録 システム 電 証 明 書 有 効 情 報 2 回 以 降 の 操 作 ( 認 証 プラットフォームが 提 供 ) ATM/マルチ 端 末 ユーザに 合 わせて 体 認 証 PIN 等 が 利 可 能 デジタル watashi アプリ ( 認 証 プラットフォームが 提 供 ) スマホ ブラウザー /クライアン トソフト 公 衆 回 線 等 インターネット 公 的 個 認 証 電 署 名 検 証 サーバ アプリ 間 連 携 帯 域 外 認 証 サーバ サービスA ID 連 携 サーバ (IDPサーバ) サービスAサーバ (RPサーバ) サービスBサーバ (RPサーバ) 認 証 プラットフォーム 社 会 的 に 共 有 すべきところ サービスB OpenID connectのself-issued OpenID Provider FIDO UAFや 類 似 プロトコル に 準 拠 ( 認 証 プラットフォーム 事 業 者 内 の システム) 電 署 名 の 検 証 プロトコルに 準 拠 ( 認 証 プラットフォーム 事 業 者 内 のシス テム) ID 連 携 プロトコル(OAuth 対 応 )に 準 拠 ( 認 証 プラットフォーム 事 業 者 サービスA 事 業 者 サービスB 事 業 者 で 共 有 するシステム) 17
技 術 要 件 の 検 討 整 理 箇 所 1 公 的 個 認 証 サービスによる 元 確 認 の 実 施 2ID 連 携 プロトコルのスキーム 及 びプロファイル 3 利 者 認 証 という 役 割 を 分 業 することで 効 率 的 に 環 境 を 実 現 できる ATM マルチ 端 末 デジタルwatashi 登 録 システム 1 公 的 個 認 証 サービス による 元 確 認 の 実 施 (x.509 PKI) Web 受 付 システム ( 元 確 認 ) 本 確 認 プラットフォーム 失 効 情 報 公 的 個 認 証 電 署 名 検 証 システム 証 跡 DB 申 請 情 報 電 署 名 電 証 明 書 認 証 (PIN 体 等 ) 登 録 + 元 確 認 利 者 のスマートフォン デジタルwatashi 認 証 (Verifier) 3 利 者 認 証 ( 多 要 素 帯 域 外 認 証 ) 技 術 申 請 情 報 電 署 名 電 証 明 書 Webアプリケーション ( 登 録 認 証 認 証 連 携 属 性 連 携 ) 申 請 情 報 電 署 名 電 証 明 書 認 証 アクセス 制 御 (FW) 不 正 に 書 き 換 えできない 法 で 属 性 情 報 を 格 納 アカウントID 発 番 号 ( 署 名 ) Registration Authority(RA) アカウントID 名 住 所 等 属 性 情 報 同 意 と 許 可 デジタルwatashi (Self Issued IdP) Key pair Attribute デジタルwatashi アプリの 発 管 理 アカウントID 端 末 識 別 情 報 アプリ 間 帯 域 外 認 証 サービス FIDO Server 連 携 機 能 (CSP) 利 者 のPC Webブラウザ ク ライアントソフト モバイルアプリ/ ブラウザ (RP) サービス 通 信 Webサービス (RP) Webサービス (RP) 2ID 連 携 プロトコル のスキーム 及 び プロファイル 18
技 術 要 件 のまとめ デジタルwatashiアプリ 技 術 要 件 の 構 成 ( 案 ) 1. 登 録 と 発 プロセス 公 的 個 認 証 サービスを いた 本 確 認 利 者 の 保 有 するスマホとアイデンティティの 紐 付 け 2. クレデンシャル 管 理 クレデンシャルの 成 発 有 効 化 更 新 等 の 要 件 セキュアかつ 安 全 なクレデンシャル 発 法 ( アプリの 配 布 ) セキュアかつ 安 全 なクレデンシャル 再 発 ( 個 番 号 カードを いる) 3. 認 証 要 素 認 証 プロセス デジタルwatashi 認 証 アプリの 要 件 認 証 には 当 確 認 保 証 レベル3 以 上 の 認 証 要 素 ( はその 組 合 せ)を いる マルチデバイス 連 携 の 場 合 帯 域 外 認 証 を いる 帯 域 外 認 証 (OTPなど) アプリ 間 連 携 の 場 合 多 要 素 認 証 を いる 多 要 素 認 証 所 有 物 (スマホ)+ 体 ( 指 紋 など) 所 有 物 (スマホ)+ 記 憶 (PIN パターンなど) 4. ID 連 携 プロトコル(アサーション) デジタルwatashiアプリ(ID 連 携 機 能 )の 仕 様 デジタルwatashiアプリにおけるID 連 携 プロトコルの 技 術 的 要 求 事 項 OpenID connect(oauth) SAML 等 1 公 的 個 認 証 サー ビスによる 元 確 認 の 実 施 (x.509 PKI) 3 利 者 認 証 ( 多 要 素 帯 域 外 認 証 ) 技 術 2ID 連 携 プロトコル のスキーム 及 び プロファイル 19
PKIの 抱 える 課 題 20
ICカードを 使 ったPKIの 場 合 ICカードが 必 要 PKIのICカードを 使 う 場 合 ICカードリーダが 必 要 今 後 デバイスの 種 類 増 加 パソコン タブレット スマートフォン スマートウォッチ その 他 ウェアラブルデバイス ハードウェアの 標 準 構 成 部 品 になるのか? CPU IDE DIMM PCI SCSI USB 21
電 署 名 をおこなうためのサーバとICカードのやり 取 りの 複 雑 性 サーバ-クライアントソフトウェア(ブラウザー 等 ) 間 専 電 署 名 クライアントソフトウェア(Windows Crypto API 等 ) java applet(java Cryptography Extension) W3C Web Crypto APIサポートブラウザー(W3C Web Crypto API) その 他 (Digital Signing for ActiveX Components 等 ) クライアントソフトウェア(ブラウザー 等 )-ICカードリーダー 間 単 純 なWebアプリケー ションとは 全 く 異 なり サーバからICカードま でデータまでやり 取 り できなければいけない ICカードドライバーの 対 応 状 況 依 存 Windows Crypto API 等 Java Cryptography Extension W3C Web Crypto API Digital Signing for ActiveX Components 等 サーバとICカードで 電 署 名 でなく データ 交 換 ( 例 えば ID 交 換 )をするだけであれば サーバ -クライアントソフトウェア(ブラウザー 等 ) 間 クライアントソフトウェア(ブラウザー 等 )-ICカードリー ダー 間 のやり 取 りは 較 的 複 雑 ではない 国 家 公 務 員 のICカード 国 家 公 務 員 のICカード 分 証 に 関 する 基 本 仕 様 等 平 成 21 年 7 1 第 37 回 CIO 連 絡 会 議 国 家 公 務 員 ICカード 身 分 証 の 仕 様 及 び 運 用 ガイドラインの 改 定 についての 資 料 より 22
PKIの 検 証 の 複 雑 さ X.509フォーマットの 電 証 明 書 や 電 署 名 の 検 証 法 : 電 証 明 書 の 記 載 事 項 電 署 名 の 検 証 法 電 証 明 書 のトラストパスの 検 証 法 失 効 情 報 の 検 証 法 署 名 検 証 者 / 電 証 明 書 の 提 を 受 ける の 注 意 事 項 電 証 明 書 を 発 した 認 証 局 の 確 認 電 証 明 書 の 失 効 情 報 等 の 確 認 JIPDEC 電 署 名 認 証 センターのホームページから 引 23
デジタルWatashiアプリで PKIをサポートする 24
PKIからID 連 携 への 変 換 サービスの 提 供 ほとんどの 技 術 が 実 装 したことのないX.509フォーマットの 電 証 明 書 や 電 署 名 の 検 証 をWebアプリケーション 開 発 者 が 使 ったことのあるID 連 携 へ 変 換 する PKIにおいては 電 証 明 書 の 記 載 事 項 は 修 正 できない 電 証 明 書 の 記 載 事 項 を 変 更 する 場 合 電 証 明 書 の 再 発 をすることになる 権 限 を 持 って 記 載 事 項 を 修 正 するのであれば ID 連 携 等 が 親 和 性 が い Webアプリケーション 開 発 者 のID 連 携 を 使 う 機 会 が 増 加 Facebookアカウント 認 証 twitterアカウント 認 証 YahooID 認 証 等 ID 連 携 (OAuth 等 )での 確 認 法 SAML OpenID connect 等 のID 連 携 プロトコル 役 割 分 担 (IDP RP)の 関 係 性 IDPのURLの 確 認 信 頼 ある プロトコル 信 頼 ある IDP RPは 重 要 である そのため トラストフレーム (ポリシーのリポジトリーや 信 頼 ある IDPのURLリスト 等 )は 必 要 である 変 換 電 証 明 書 電 署 名 の 検 証 実 装 経 験 のない ID 連 携 使 っている Webアプリケーション 開 発 者 25
元 確 認 と 当 確 認 の 使 い 分 け 元 確 認 は PKIの 電 証 明 書 電 署 名 の 確 認 を 利 して オンラインで 確 度 の い 元 確 認 を 実 施 当 確 認 は PKIによる 電 認 証 ( 電 署 名 技 術 の 利 )ではなく 多 要 素 認 証 を いることにより 利 便 性 の 向 上 身 元 確 認 Identity Proofing 当 人 確 認 Authentication ビジネスプロセス サービスアカウントの 開 設 アカウント 登 録 時 の 属 性 情 報 の 確 認 原 則 サービス 利 用 開 始 時 のみにおこなう サービス 利 用 時 に 毎 回 おこなう 確 認 そのため 属 性 情 報 を 確 認 するの ではなく アカウントの 所 有 のみを 確 認 従 来 のオンラインサービスの 場 合 で の 実 現 方 法 オンラインサービスでも 必 要 な 場 合 対 面 又 は 郵 送 等 により 確 認 対 面 の 場 合 利 用 者 が 実 在 し 提 示 さ れた 属 性 情 報 であることを 直 接 確 認 又 は 郵 送 等 で 証 明 書 実 印 により 押 印 された 申 請 書 と 印 鑑 証 明 書 等 により 確 認 レベルの 応 じて 単 要 素 認 証 (ID パ スワード 等 ) 多 要 素 認 証 ( 所 有 物 + パスワード 等 ) ICカードによる 電 子 署 名 を 利 用 した 認 証 により 確 認 デジタルwatashiでの 実 現 方 法 オンラインにより マイナンバー カードの 公 的 個 人 認 証 サービスの 電 子 署 名 用 電 子 証 明 書 と 電 子 署 名 による 確 認 スマホ 上 の デジタルwatashi 認 証 アプリ を 使 って 多 要 素 認 証 (ス マホという 所 有 物 +パスワードや 生 体 認 証 等 )により 確 認 26
Authenticatorデバイスを 位 置 づける ICカードを 使 ったPKIでの 連 携 ICカード ICカードリーダー サービス 利 端 末 サーバ Authenticatorデバイスを 使 った 連 携 -Authenticatorデバイス-サーバ Authenticatorデバイスのバリエーション スマートフォン ウェアラブルデバイス PKI 機 能 を 使 わないICカード その 他 従 来 のソリューションにおいては サービス 利 端 末 と Authenticationは 同 じデバイスを 利 体 認 証 等 に 取 り 組 んでいるFIDO Allianceにおいては 明 的 に FIDO Authenticatorや2nd Factorデバイスが 定 義 されて いる 結 果 として Authenticatorデバイス 以 外 のサービス 利 端 末 でのサービスに 関 しては 単 純 化 することができる FIDO (Fast IDentity Online) Allianceの 資 料 より 27
今 後 の 可 能 性 リモート 署 名 サービスとの 組 合 せによるICカードなしでの 電 署 名 の 実 現 クラウドベースの 鍵 管 理 署 名 サービス(ユーザは 直 接 秘 密 鍵 を 所 有 しな い) ユーザ 認 証 に よる 署 名 指 示 ETSI ESI Workshop Barcelona, 14th March 2013 Signing in the Cloud CEN Server signing TS 419 241 part 1 https://docbox.etsi.org/workshop/2013/201303_signatures_in_cloud/3b CEN Server Signing.pdf 28
最 後 に 電 署 名 電 認 証 は 利 便 性 と 安 全 性 のバランスを 取 ることが 重 要 利 便 性 番 理 解 しているのは 利 者 である ビジネスモデルにも きな 影 響 を 与 える 技 術 者 は 失 うことが 多 い 安 全 性 PKIだから 利 便 性 が いということは 全 くない 利 者 は 般 的 には 判 断 できない 利 便 性 安 全 性 安 全 性 は 1 技 術 的 安 全 性 2 運 的 安 全 性 がある まずは 1 技 術 的 安 全 性 を 考 える 必 要 がある 1 技 術 的 安 全 性 を2 運 的 安 全 性 でカバーする 場 合 もある 専 知 識 を 理 解 した で 議 論 すべきである 論 点 としては 安 全 性 が い 低 いが 論 点 で はない 安 全 性 が 妥 当 かどうかが 論 点 である 29