講演資料 - 日本銀行金融研究所

日本銀行金融研究所 第17回情報セキュリティ・シンポジウム
2016年3月2日
講演2
生体認証システムのセキュリティ評価
ー 人工物を用いた攻撃に焦点を当てて ー
日本銀行金融研究所 情報技術研究センター
宇根 正志
・本発表の内容は発表者個人に属し、日本銀行の公式見解を示すものではありません。
・本発表の詳しい内容については、宇根正志、「生体認証システムにおける人工物を用いた攻撃に
対するセキュリティ評価手法の確立に向けて」、IMES Discussion Paper Series No. 2016‐J‐2をご参照
ください。
1
アジェンダ
1.
3つの観点からみた生体認証システム
 「セキュリティ（安全性）」「利便性」「網羅性」の考察
 人工物を提示する攻撃にかかる評価
2. 第三者による評価・認証の実現に向けた動向
 わが国の産官連携プロジェクト
 国際標準化活動
3. 金融分野での活用に向けて
2
1. 3つの観点からみた
生体認証システム
3
生体認証の「セキュリティ」「利便性」「網羅性」
特性
セキュリティ
意味
「なりすまし」
への耐性
現状
セキュリティ評価手法が確立途上。
 「生体特徴を人工物によって偽造しシステ
ム（センサ）に提示する」という攻撃に対す
るセキュリティ
利便性
サービス利用者 サービス利用者が自然な動作で生体
にとっての
特徴を提示できる。
使いやすさ
 オープンな場で入力可能。紛失しにくい。
網羅性
適用可能な
生体認証機能を有するPCやスマート
サービス利用者 フォン等が普及しつつある。
の範囲の広さ  FIDOにおける利用シーンも拡大していく。
4
「なりすまし」を試みる攻撃
１．ナイーブな攻撃
端末
（生体認証システム）
攻撃者
ATM
自分の生体特徴を提示
PC／タブレット
2．人工物を用いた攻撃
「なりすまし」の対象と
なるサービス利用者
携帯端末
（スマートフォン等）
攻撃者
POS/mPOS端末
①生体特徴にかかる
情報を入手
＜クレジット取引＞
②人工物を作製・提示
5
人工物を用いた攻撃の研究事例
• ある種の人工物を提示すると、それを身体の一部として
誤って受け入れる場合があることが、複数の市販製品・
システムでの実験において判明。
＜主な研究事例＞
• 指紋を用いたシステム
 指紋と類似の形状の人工物を作製。
さまざま人工物
 素材：グミ、シリコーンなど。
（出典）ルミダイム社ウェブサイト
http://www.lumidigm.com/antispoof.html
• 虹彩を用いたシステム
 虹彩を撮影し、その画像を紙に印刷。
• 静脈のパターンを用いたシステム
 静脈のパターンを撮影し、その画像を紙等に印刷。
（
）
6
各攻撃におけるセキュリティ評価の状況
１．ナイーブな攻撃
端末
（生体認証システム）
攻撃者
「人間の生体特徴の
判別性能の評価」
（精度評価）を適用
ATM
自分の生体特徴を提示
PC／タブレット
2．人工物を用いた攻撃
「なりすまし」の対象と
なるサービス利用者
現在、評価手法
の検討が進行中
携帯端末
（スマートフォン等）
攻撃者
POS/mPOS端末
①生体特徴にかかる
情報を入手
＜クレジット取引＞
②人工物を作製・提示
7
人工物を用いた攻撃にかかる評価（現状）
「なりすまし」の対象と
なるサービス利用者
端末
（生体認証システム）
攻撃者
ATM
①生体特徴にかかる
情報を入手
②人工物を
作製・提示
PC／タブレット
攻撃者が「生体特徴にかかる情報を入手
済み」であることを前提とする。
携帯端末
（スマートフォン等）
○テスト物体を用いて評価する。
・ 一定の手順で作成された人工物を「テスト物体」として準備し、
センサに提示して攻撃が成功する確率等を計測。
・ 当該物体作製に要するリソース（時間、知識、費用等）も算出。
POS/mPOS端末
＜クレジット取引＞
8
「テスト物体を用いた評価」における主な課題
• テスト物体のバリエーションの充実
 想定される攻撃者のリソースはアプリケーションに応じて
多種多様。
 それらに応じて「標準的なテスト物体」を選択できるように
する必要。
• 評価尺度や評価環境の標準化
 評価尺度として、人工物が提示された際に「人工物」と正
しく識別する確率等を定義し標準化することが必要。
 評価結果を左右する（環境）要因を明確にしたうえで、そ
れらを制御した「評価環境」を標準化することが必要。
9
2. 第三者による評価・認証
に向けた動向
10
足許の検討とその方向性
• 2014年度より、わが国の産官連携プロジェクト*にお
いて、「コモン・クライテリア」に則った生体認証システ
ムの評価・認証の実現を目指し、
① テスト物体を用いたセキュリティ評価手法の検討
② 同検討結果の国際標準化
が推進されている。
• 2016年度には、静脈のパターンを用いた生体認証シ
ステムの評価が試行される見通し。
（＊）戦略的国際標準化加速事業：クラウドセキュリティに資するバイオメトリクス認証の
セキュリティ評価基盤整備に必要な国際標準化・推進基盤構築
11
コモン・クライテリアに則った評価・認証
－第三者による、標準化された手法に基づく評価－
ベンダー
①参照
コモン・クライテリア＜セキュリティ要件集＞
（ISO/IEC 15408シリーズ）
評価方法論(CEM)＜評価手法を記述＞
セキュリティ
設計仕様書
（Security Target）
①参照
セキュリティ
要求仕様書
（Protection Profile）
認証書
②製造・試験
③入手・評価
実施
④評価結果
を入手
評価対象
のシステム・
製品
テスト証拠
資料
評価機関
認証機関
12
テスト物体を用いた評価手法の検討
課題
主な検討の概要
（静脈のパターンを用いたシステムを主な対象に）
テスト物体の ・人工物を作製（複数の素材の組合せ、高価
バリエーション な素材・機器の使用等を考慮）。
 3Dプリンタ等も活用。
の充実
・人工物の作製にかかる費用・時間等を算出。
評価尺度や
評価環境の
標準化
・攻撃成功確率を定義（APCER*等）。
・評価のための試験を実施する環境を検討。
 試験結果の再現性確保のために、ロボット
を用いた人工物提示を検討。
 試験実施時の環境（温度、照明等）の設定
を検討。
（＊）APCER: Attack Presentation Classification Error Rate
13
国際標準化に向けた動向
• セキュリティ評価手法にかかる検討等の成果を国際
標準とする方向で検討が進められている。
• ISO/IEC 30107シリーズ (Presentation Attack Detection)
 バイオメトリクスの標準化を担当するISO/IEC JTC1/SC37におい
て審議中。
 人工物を提示する攻撃に対する安全性の評価方法、評価尺
度等にかかる事項が規定される見込み。
• ISO/IEC 19989 (Security Evaluation of Presentation Attack Detection for Biometrics)
 セキュリティの標準化を担当するISO/IEC JTC1/SC27において
審議中。
 人工物の提示を検知・排除するためのセキュリティ要件等が
規定される見込み。
14
検討や標準化が進展した後の姿（概念図）
ベンダー
①参照
生体認証特有のセキュリティ
コモン・クライテリア＜セキュリティ要件集＞
要件等を具備
（ISO/IEC 15408）
人工物を用いた攻撃の
評価方法論(CEM)＜評価手法を記述＞
評価手法が確立
セキュリティ
設計仕様書
（Security Target）
②製造・試験
①参照
セキュリティ
要求仕様書
（Protection Profile）
③入手・評価
実施
認証書
④評価結果
を入手
評価対象
のシステム・
製品
テスト証拠
資料
評価機関
認証機関
15
3. 金融分野での活用に向けて
16
一連の検討による金融機関へのメリット
• 金融機関＝「生体認証システムの調達者」「同システムを活用
する金融サービスの提供者」
これまでの状況
検討・標準化の進展後の状況
・国際標準に基づく評価結果を参照できるようになる。
 評価結果の信頼性が向上し、安心感が高まる。
標準的な手法での
 「攻撃実行に要するリソースと攻撃成功確率
評価が困難
の関係」を標準的な手法で把握可能となり、
セキュリティ・ガバナンスが向上。
セキュリティの
観点から複数の
システムの比較が
困難
・評価尺度や評価環境が標準化され、複数のシ
ステム間の評価結果の比較が可能になる。
 異なる評価済みシステムを連携させることが
展望できる。
 セキュリティ・レベルの差異に応じたリスク
対策やサービスの検討も可能。
17
評価・認証結果をどのように活用するか？
• 目標：「評価・認証を得た生体認証システムに関して、
『攻撃実行に要するリソースと攻撃成功確率』等を確認
し、セキュリティ・ガバナンスや安心感の向上を目指す」
【当該システムの提供者（ベンダー）と連携して実施】
1. セキュリティ設計仕様書（Security Target）の内容を確認
 「システムの用途」「想定する脅威」「運用時の前提条件」
「セキュリティ対策方針」を確認。
 「セキュリティ機能にかかる要件の充足の論拠」として、
FARやAPCER等の評価尺度（評価結果）を確認。
2. テスト証拠資料等（評価のテストにかかる情報）を確認
 「既知の攻撃がテストで考慮されていること」「攻撃実行に
要するリソースの試算結果」等を確認。
18
まとめ
 生体認証システムのセキュリティ評価・認証の枠
組み実現が展望できる状況になってきている。
 「セキュリティ」「安心感」の面で（プラスの方向での）
環境変化が起きつつある。
 スマートフォン等における生体認証実装も進んで
いる。

「網羅性」の向上も期待される。
 金融サービスで生体認証システムを利用する際
には、今後、標準的な評価手法等を活用し、当該
サービスでのセキュリティ・ガバナンスや顧客の
安心感の向上につなげていくことが有用。
19