本人確認における脅威と対策
身元確認(Identity Proofing)
身元確認の目的は、申請者の属性情報を収集することで申請者を一意に識別するとともに、収集した属性情報が真正かつ申請者自身のものであることを本人確認書類により検証することで、申請者が実在かつ生存する人物であることを確認することである。
本節では、身元確認において想定される脅威、実施すべきプロセスと手法例を解説し、身元確認における保証レベルと対策基準を定義する。
身元確認における脅威と対策
身元確認においては、以下に示すような脅威が想定される。これらの脅威を検知又は防止するため、「対策プロセス」に記載した各プロセスを経て身元確認を実施することが必要である。
身元確認のプロセス
身元確認は、「属性情報の収集」、「本人確認書類の検証」及び「申請者の検証」の3つのプロセスによって実施する。また、身元確認の完了後には、利用者の属性情報や認証器等の認証関連情報を登録する「登録」プロセスを行う。関連するプロセスの全体像を以下に示す。
身元確認の手法
身元確認の各プロセスにおける主な手法を示す。なお、ここで示す手法は主な例であり、他の手法の採用を妨げるものではない。
属性情報の収集手法
このプロセスでは、申請者の氏名等の属性情報を収集することで、対象となる母集団の中で申請者を一意に識別する。収集対象とする属性情報は、氏名、生年月日、住所、個人識別符号(対象手続で利用可能である場合)等が一般的であるが、対象手続の業務特性等により異なる。
属性情報を正確に収集できないと、申請者を一意に識別できず重複登録や別人との誤紐づけの原因となる。そのため、誤記や表記揺れのほか、改姓や改名、住所変更、通称、外国語の表記法、文字コード、異体字や外字の取扱いなど、一意な識別を妨げる様々な要素を考慮しなければならない。
属性情報の収集における主な手法は以下のとおりである。
電子的な読取り
本人確認書類に搭載されたICチップ等から、属性情報を電子データとして読み取る手法。手書き・手入力に伴う誤記や表記揺れ等を防ぎ、属性情報を正確に収集できるが、取り扱うシステムにおける文字コードや異体字・外字の整合等についての留意が必要となる。
後述する本人確認書類の検証手法において「デジタル署名の検証」を行うことが前提となる。
物理的な読取り
OCR(Optical Character Recognition:光学式文字認識)装置等を用いて、本人確認書類から属性情報を光学的に読み取る手法。手書きや手入力に起因する誤記等のリスク低減が期待できるが、読み取り精度を考慮した確認作業が必要となる。
申請者自身による記入・入力
申請様式や申請フォームを用意し、申請者自身による記入・入力を求める手法。誤記や表記揺れなどのリスクが存在する。また、紙への記入を求める方式については、申請を受け付けた側でのデータ入力時の入力ミスや読み間違いのリスクについても考慮が必要となる。
IDプロバイダからの情報取得
IDプロバイダに身元確認を依拠する連携モデルの場合、IDプロバイダが実施した身元確認の結果を取り寄せることで、対象手続側で必要とする申請者の属性情報を取得する手法。この場合、後述する「本人確認書類の検証」や「申請者の検証」はIDプロバイダによって実施済みのものとして扱うことができる。
ここで取得した属性情報の正確性や保証レベルは、IDプロバイダが実施した身元確認の手法(身元確認の具体的手法、提示された本人確認書類の種類等)に依存する点や、IDプロバイダが身元確認を実施した時点から属性情報が変更されている可能性がある点に留意すること。
正確性や保証レベルが対象手続において受け入れ可能なものであるかについては、IDプロバイダとの「信頼関係の確立」プロセスにおいてあらかじめ確認・合意することが必要である。詳細については「3.3 フェデレーション(Federation)」を参照すること。
本人確認書類の検証手法
このプロセスでは、身元確認におけるなりすまし等の不正を防ぐため、申請者から提示された本人確認書類に対して、それが偽造・改ざんされたものでないことを検証する手法。
主な手法は以下のとおりである。手法により利用可能な本人確認書類と検証強度が異なるため、対象手続の利用者特性、取り扱う本人確認書類、想定されるリスク等を踏まえながら、採用する手法を検討する必要がある。
デジタル署名の検証
本人確認書類に格納された電子データに発行元のデジタル署名が付与されている場合において、デジタル署名を検証することで、データの発行元と、データが発行後に改ざんされていないことを検証する手法。デジタル署名のもつ暗号学的な性質に基づき、厳密な検証が可能である。
信頼できる情報源への照会
信頼できる情報源(本人確認書類の発行元など、本人確認書類の記載情報を正確に保持している、権威ある組織やシステム)に対して、一意な参照番号やQRコード等を用いて情報を照会することで、本人確認書類に記載された内容の真正性を確認する手法。発行元等の情報を直接取得できるため厳密な検証が可能であるが、参照に用いる参照番号やQRコード等の真正性については別の手法で検証する必要がある。
対面での物理的検査
対面において、本人確認書類を物理的(視覚的・触覚的)に検査することで、偽造・改ざんがされていないことを検証する手法。
検証の強度は、検査を行う環境(照明の明るさ等)、検査に利用できる道具、本人確認書類が備える偽造対策技術(ホログラムやパールインキ等の印刷技術)、検査担当者の経験・技能、訓練やマニュアルの有無など、様々な要因によって左右される。
非対面での物理的検査
カメラによる画像・動画の撮影、複合機等による複写・スキャン等によって、本人確認書類を非対面で検証する手法。
手法により強度の差はあるが、この手法においては精巧な偽造・改ざんの検知は難しく、対面の場合と比べて検証の強度は低くなる。
申請者の検証手法
「本人確認書類の検証」によって本人確認書類が真正かつ有効であることを確認できた場合でも、窃盗や貸し借りによって正規の本人確認書類が悪用されている可能性がある。そのため、このプロセスで本人確認書類が確かに申請者自身のものであることを検証する。
主な手法は以下のとおりである。手法によって利用可能な本人確認書類と検証強度が異なるため、対象手続の利用者特性、取り扱う本人確認書類、想定されるリスク等を踏まえながら、採用する手法を検討する必要がある。
対面での容貌確認
対面において、本人確認書類に含まれる顔写真と申請者の容貌とを見比べ、本人確認書類が確かに申請者自身のものであることを検証する手法。
この検証の強度は、検証を行う環境(照明の明るさ等)、検証時の条件(帽子やマスク等の着脱等)、本人確認書類の顔写真の品質や媒体(印刷されたものか、ICチップに格納された電子データか)、検証を担当する者の経験・技能、マニュアルや訓練の有無など、様々な要因によって左右される。
非対面での容貌確認
オンラインでの手続において、カメラで撮影された映像・画像等を観察することで、本人確認書類に含まれる顔写真と申請者の容貌とを見比べ、本人確認書類が確かに申請者自身のものであることを検証する手法。
この検証の強度は、カメラでの撮影を行う環境(照明の明るさ等)、カメラの解像度、本人確認書類の顔写真の精度、検査を担当する者の経験・技能、マニュアルや訓練の有無など、様々な要因によって左右される。顔照合技術等を用いて検査担当者を介さずに行う場合は、当該技術の精度によっても左右される。
また、カメラに対して偽の映像・画像を提示する攻撃(プレゼンテーション攻撃)や、カメラで撮影されたデータを偽の映像・画像に差し替える攻撃(インジェクション攻撃)など、この手法における特有の攻撃への対策も必要となる。
暗証番号等による検証
ICチップを備える本人確認書類やスマートフォンに搭載された本人確認書類等において、それらが備える暗証番号や生体情報による認証機能を利用することで、本人確認書類が確かに申請者自身のものであることを検証する手法。
この検証の強度は、認証に用いる要素、認証機能の精度や仕様(暗証番号の桁数、生体認証の本人拒否率や他人受入率等)等に左右されるが、検証の環境や担当者の技能等に左右されにくく、一定の強度が期待できる。ただし、暗証番号を用いる場合、本人確認書類とともに暗証番号が攻撃者に共有され得るため、例えば本人確認書類の貸し借り等は検知できない。
住所への到達確認による検証
本人確認書類に記載された住所等の連絡先に対して「確認コード(6桁の番号等)」等を送付するなどして到達確認を行うことで、申請者と本人確認書類との紐づきを検証する手法。顔写真を含まない本人確認書類にも適用できる特徴がある。
この検証の強度は、検証の環境や担当者の技能等に左右されにくく、対面・オンラインのいずれにおいても一定の強度が期待できる。ただし、送達中の確認コードが攻撃者に不正取得されるリスクが存在する点などへの留意が必要である。また、送付した確認コード等が攻撃者に共有され得るため、例えば本人確認書類の貸し借り等は検知できない。
身元確認保証レベルと対策基準
身元確認保証レベルの位置づけ
身元確認の保証レベルは、表 3‑3に示す3段階で定義する。
なお、対象手続におけるリスクの影響度の判断基準については本ガイドラインの「4 本人確認手法の検討方法」を参照すること。
身元確認保証レベルの対策基準
身元確認における各保証レベルの対策基準は下表のとおりとする。
※1: 身元確認保証レベル3の容貌確認では、顔写真が偽造・改ざんされていないことを「デジタル署名の検証」によって検証する必要があることに留意すること。また、厳格な対面での容貌確認については実施担当者に技能が要求されるため、適切にトレーニング等を実施すること。詳細は「3.1 身元確認(Identity Proofing) 5) 身元確認に関する個別検討事項 エ 身元確認の実施担当者に対する訓練等」を参照のこと。
※2: 非対面での容貌確認では、カメラに対して偽の映像・画像を提示する攻撃(プレゼンテーション攻撃)や、カメラで撮影されたデータを偽の映像・画像に差し替える攻撃(インジェクション攻撃)などへの対策が必要となる。攻撃技術の動向を把握した上で、必要な対策を実施し、適時見直しを実施すること。詳細は「3.1 身元確認(Identity Proofing) 5) 身元確認に関する個別検討事項 オ カメラに対する攻撃への対策」を参照のこと。
※3: これらの手法は本人確認書類の貸し借りを検知できない手法であることに留意すること。
なお、対策基準はあくまで基準である。同等の脅威耐性を確保できる場合は他の手法等により代替してもよい。
身元確認に関する個別検討事項
以下の事項については、保証レベルや対策基準によらず、対象手続の特性等を踏まえて個別の検討を行うものとする。
身元確認において収集する属性情報
身元確認において申請者からどのような属性情報を収集する必要があるかについては、対象手続の事業目的、対象とする利用者層、マイナンバーの利用可否などによって異なる。プライバシーの観点からは、収集する情報は必要最小限の範囲とする必要もある。
これらの点を考慮しつつ、対象手続の身元確認において申請者から収集すべき属性情報を検討すること。
身元確認で利用可能とする本人確認書類
対象手続においてどのような本人確認書類を利用可能とすべきかについては、対象手続の目的、根拠法、利用者層、身元確認保証レベル、採用する身元確認手法など、様々な条件や制約を考慮して決定する必要がある。したがって、利用可能とする本人確認書類の種類や条件、複数の本人確認書類の組み合わせの可否等については、対象手続において個別に検討すること。
検討の参考として、採用する身元確認手法に基づく本人確認書類の条件の考え方を以下に示す。
本人確認書類の貸し借りへの対策
申請者の検証手法のなかには、「本人確認書類の貸し借り」への耐性を備えない手法もある。対象手続において本人確認書類の貸し借りが行われた場合のリスクを評価し、これを受容できない場合は貸し借りへの耐性を有する手法の採用を検討すること。
身元確認の実施担当者に対する訓練等
身元確認手法のなかには、実施手順や実施する担当者の技能等によって検証強度が大きく左右されるものがある。そのような手法を採用する場合は、適切な検証を実施するためのマニュアル等を整備し、身元確認の実施担当者に対して適切な教育や訓練を行うこと。
実施担当者に対する訓練を必要とする手法例:
-
本人確認書類の検証手法の「対面での物理的検査」
-
本人確認書類の検証手法の「非対面での物理的検査」
-
申請者の検証手法の「対面での容貌確認」
-
申請者の検証手法の「非対面での容貌確認」
カメラに対する攻撃への対策
非対面の身元確認においてカメラの映像・画像を用いる場合、カメラに偽の映像・画像を流し込む、通信途中にデータを差し替える、AI技術等を用いて映像をリアルタイムに加工するなど、この手法に対する特有の攻撃(プレゼンテーション攻撃、ビデオインジェクション攻撃)が想定される。有効な対策は採用しようとする手法や端末環境によって異なるため、必要な対策を個別に検討し講じること。
対策の例:
-
攻撃を検知するための技術(高度なライブネスチェック等)の採用
-
攻撃が技術的に困難な仕組みを備える端末やOSの指定
-
専用端末が備えられたブースなど、第三者による攻撃が困難な環境での身元確認の実施
「基本的な考え方」に基づく考慮事項
「1.5 基本的な考え方」に基づき、以下の点を考慮すること。
事業目的の遂行、公平性への影響
身元確認に利用できる本人確認書類が限られることによって、事業目的の遂行や公平性への影響が生じないか留意すること。例えば、本人確認書類に対して「デジタル署名の検証」を必須とする場合、デジタル署名に対応した本人確認書類を有していない利用者の存在を考慮した対応の要否を検討すべきである。
プライバシーに関する考慮事項
身元確認では個人情報を収集するため、収集した情報の取扱いに係るプライバシー面のリスクを識別・評価し、必要な対策を検討すること。
例えば、収集した情報の不適切な利用、名寄せ、第三者への提供、改ざん、漏えいなどのリスクが想定される。対策の例としては、収集する情報の最小化(Data Minimization)、必要のなくなったデータの破棄、目的外利用が行われないための適切な管理や教育などが考えられる。
セキュリティに関する考慮事項
それぞれの手法による検証の強度は、運用方法によっても大きく左右されることに留意すること。特に、担当者が目視で行う「物理的検査」や「容貌確認」といった手法では、検証の環境、本人確認書類の種別、機材の有無、検証に費やせる時間、マニュアルや訓練の有無など、様々な要因によって検証の強度が変わる。これらの手法を採用する場合には、これらの要素について具体的な運用設計を行うこと。
当人認証(Authentication)
当人認証の目的は、対象手続を利用しようとする申請者が、あらかじめ登録されている者と同一の人物であること(当人性)を確認することである。
本節では、当人認証において想定される脅威、プロセス、手法例等を解説し、当人認証における保証レベルと対策基準を定義する。
当人認証における脅威と対策
当人認証における主な脅威と対策を以下に示す。
| No. | 主な脅威 | 脅威の概要 | 対策例 |
|---|---|---|---|
| 1 | オンライン上でのパスワードの推測 | 総当たりやパスワードリスト等により繰り返しログインを試行することで、なりすましを行う。 | パスワードの複雑性の確保、一定時間当たりの認証回数の制限、多要素認証の採用 |
| 2 | 盗聴・リプレイ攻撃 | 通信を盗聴し、パスワード等を窃取することでなりすましを試みる、同じ内容を再送信することでなりすましを行う。 | 通信の暗号化、チャレンジレスポンス方式の採用、nonceの導入、ワンタイムパスワードの採用 |
| 3 | パスワードや認証器の盗用 | 他サービスから漏えいしたパスワード、窃盗したICカード等を用いてなりすましを行う。 | 多要素認証の採用 |
| 4 | フィッシング攻撃 | 利用者を偽のサイトに誘導し、入力されたパスワード等を攻撃者が窃取したり、正規のサイトにリアルタイムに中継したりすることで、なりすましを行う。 | フィッシング耐性を有する認証技術の採用 |
| 5 | 暗号鍵の不正な取り出し・複製 | 秘密鍵が格納されたデバイスに対し、物理的な解析やサイドチャネル攻撃等を行うことにより、秘密鍵を不正に取り出そうとする。 | 耐タンパ性を有するハードウェアの利用等 |
表 3‑6 当人認証における主な脅威と対策例
当人認証のプロセス
当人認証は、認証器のライフサイクルに沿って、「認証器の登録」、「当人認証の実施」、「盗難・紛失等への対応」及び「アカウントの回復」のプロセスを考慮する必要がある。以下に関連するプロセスの全体像を示す。
| No. | プロセス | 概要 |
|---|---|---|
| 1 | 認証器の登録 | アカウント登録時等の身元確認プロセスにおいて認証器を登録するなどして、当人認証に用いる認証器を利用者と紐づけて登録する。 |
| 2 | 当人認証の実施 | 手続やサービスを利用しようとする申請者が、あらかじめ登録されている利用者と同一の人物であることを、認証器によって確認する。 |
| 3 | 認証器の盗難・紛失時の対応 | 利用者から認証器の盗難や紛失の報告を受けた際に、認証器の無効化やアカウントの停止等の対応を行う。 |
| 4 | アカウントの回復 | 認証器の盗難・紛失、故障による交換、パスワードの忘失などによって利用者がアカウントにログインできなくなった状態を回復する。 |
表 3‑7 当人認証に関連するプロセスの概要
当人認証の手法
当人認証は、一般に「認証の3要素」と呼ばれる「知識情報」、「所持情報」及び「生体情報」のうち1つ以上を用いて行われる。1つの要素を用いるものを「単要素認証」、複数の要素を組み合わせて用いるものを「多要素認証」という。代表的な当人認証の手法例を以下に示す。
パスワード認証
あらかじめ登録した文字列によって利用者を認証する方式。オンラインサービスにおいて最も普及している当人認証手法の1つである。
利用者側が複数のサービスで同じパスワードを使い回すことが少なくなく、他のサービスから漏えいしたパスワードによって不正アクセスを受けるリスクがある。また、利用者を偽のサイトに誘導してパスワードを窃取するフィッシング攻撃に対して脆弱である。こうしたリスクは利用者の行動や判断にも依存するため、サービス提供側での根本的な対策が難しい。
ワンタイムパスワード認証
一回限りのパスワードを生成して認証する方式。パスワードの生成や伝達方法によって様々な種類があり、スマートフォン用のTOTP(Time-based One-Time Password)アプリでワンタイムパスワードを生成する方式や、サーバ側で生成したワンタイムパスワードを電子メールやSMS等によって送信する方式などが代表的である。ワンタイムパスワードは「二段階認証」と呼ばれる方式でパスワードとともに用いられることがあるが、リアルタイム中継型のフィッシング攻撃への耐性を有さないことに留意が必要である。
SMS等を用いてワンタイムパスワードを送信する方式は、SIMスワッピング攻撃により利用者が携帯電話番号を不正に奪取されるリスク、第三者によってSMS等の認証代行が行われるリスク、携帯電話番号の再割り当てが行われることで別人に届いてしまうリスク等がある。採用に当たってはこれらのリスクを受容できるか個別のリスク評価が必要である。
電子メールアドレスに対してワンタイムパスワードを送信する方式は、電子メールへのアクセスがパスワードに依存している場合が多く、パスワードと同時に侵害される可能性があることや、メールの送信経路中で傍受されるリスクがある。採用に当たってはこれらのリスクを受容できるか個別のリスク評価が必要である。
公開鍵認証
ICカード、スマートフォン、USBセキュリティキー等のデバイスに秘密鍵を格納し、公開鍵暗号に基づく認証を行う方式。通常、秘密鍵はデバイスの外部に取り出すことはできない仕組みとなっているが、複数のデバイス間で秘密鍵を同期できる技術も存在する。
単要素の認証器
公開鍵認証のうち、暗証番号や生体情報を必要とせずに利用できる認証器を用いる場合、「所持情報」を用いる単要素認証となる。
多要素の認証器
公開鍵認証のうち、暗証番号や生体情報によるアクティベーション機能を有する認証器を用いる場合、多要素認証となる。
当人認証保証レベルと対策基準
当人認証保証レベルの位置づけ
当人認証の保証レベルは、以下の3段階で定義する。
なお、対象手続におけるリスクの影響度の判断基準については本ガイドラインの4章を参照すること。
当人認証保証レベルの対策基準
当人認証における各保証レベルの対策基準は下表のとおりとする。
- 希望する利用者が、フィッシング耐性をもつ認証手法を選択的に利用できることを指す。
なお、対策基準はあくまで基準であり、同等の脅威耐性を確保できる場合は他の手法等により代替してもよい。
当人認証に関する個別検討事項
以下の事項については、保証レベルや対策基準によらず、対象手続の特性等を踏まえて個別の検討を行うものとする。
認証器の登録方法
認証器を利用者と紐づけて登録するための登録方法を定めること。
身元確認プロセスの一環として登録することが一般的であるが、アカウント回復のための追加の認証器の登録、認証器の盗難・紛失や故障による交換時の再登録についても考慮が必要である。
認証器の盗難・紛失時の対応
認証器の盗難や紛失を想定した対応をあらかじめ定めること。具体的には、利用者からの報告に応じて当該認証器の登録を解除する、アカウントを一時停止するなどの対応が考えられる。
なお、利用者からの報告を受け付ける際には、第三者のなりすましによる攻撃を想定し、当該利用者に対する本人確認を行う必要がある。後述する「アカウントの回復」とあわせて、報告者に対する本人確認手法を検討すること。
アカウントの回復
利用者がパスワードを忘れた場合や認証器を紛失した場合に備え、アカウントの回復手段を検討すること。代表的な手段としては以下のような手法例が考えられる。
なお、アカウント回復手段を攻撃の起点とされることを防ぐため、アカウント回復の手段は、採用している当人認証手法と同等以上の強度の手法を選択すること。
利用者の死亡時の対応
対象手続の特性、根拠法、想定されるリスク等に基づき、利用者が死亡した場合のアカウントの取扱いについて必要な対応を定めること。
「基本的な考え方」に基づく考慮事項
事業目的の遂行や公平性への考慮事項
採用する当人認証手法によって、事業目的の遂行や公平性への影響が生じないか留意すること。例えば、スマートフォンの所有を前提とする手法を採用する場合、スマートフォンを有していない利用者の存在を考慮した対応の要否を検討すべきである。
プライバシーに関する考慮事項
なりすまし等によって不正アクセスを受けた際にアクセス可能となる情報の範囲等を踏まえ、利用者に生じるプライバシー面のリスクを考慮して当人認証手法を検討すること。
さらに、認証器に含まれる情報によって利用者の意図しない名寄せが行われるリスクなど、当人認証手法によって引き起こされるリスクについても考慮すること。
フェデレーション(Federation)
フェデレーションでは、対象手続における身元確認や当人認証を、信頼できる他者に依拠して実現する。このとき、依拠元となる対象手続を「依拠当事者」、依拠先を「IDプロバイダ」といい、連携のためにIDプロバイダから発行される情報を「アサーション」という。概念図を以下に示す。
フェデレーションにおける脅威と対策
フェデレーションにおける主な脅威は以下のとおりである。
フェデレーションのプロセス
フェデレーションによる安全な連携を実現するためには、IDプロバイダと依拠当事者間で事前調整により信頼関係を確立した上で、システム面の設定・登録及び鍵管理や、連携されたアサーションの検証等が必要となる。
フェデレーションのプロセスの全体像を以下に示す。
フェデレーションに関する対策基準
フェデレーションの各プロセスにおいて、依拠当事者となる対象手続が満たすべき対策基準を本項に示す。
なお、本ガイドラインではフェデレーションに関する保証レベルは定義せず、一律の対策基準を定義する。
信頼関係の確立
依拠当事者は、フェデレーションにおいて必要な条件等についてIDプロバイダと調整・合意することで、IDプロバイダとの信頼関係を事前に確立するものとする。このプロセスにおいて最低限合意すべき事項を以下に示す。なお、合意事項は文書化して管理するものとする。
設定・登録及び鍵管理
「信頼関係の確立」プロセスにおいて合意した内容に基づき、IDプロバイダとの安全な連携に必要となる各種設定・登録(お互いの識別子の設定、暗号鍵の交換・登録等)を行う。暗号鍵については、定期的な更新などの鍵管理を行う。
設定・登録及び鍵管理は手動で行うことを基本として想定するが、必要時に自動的に行うための技術を採用してもよい。
アサーションの授受と検証
依拠当事者は、IDプロバイダから発行されるアサーションを受け取ることで連携を行う。このアサーションには利用者の個人情報や認証に係る情報が含まれるため、攻撃者によるアサーションの盗聴、窃取、偽造・改ざん、再利用などの脅威を想定し、適切な対策を講じる必要がある。
アサーションに関して最低限満たすべき対策基準は以下のとおりとする。ただし、詳細はIDプロバイダとの連携方式、連携に用いるネットワーク、採用するプロトコルの仕様等によっても異なるため、システムの構築段階において想定される脅威とリスクを分析し、必要な具体的対策を講じること。
定期的な確認と見直し
依拠当事者は、「信頼関係の確立」プロセスにおいて合意した事項がIDプロバイダにおいて確かに実施されていることを、想定される脅威に応じて定期的に確認すること。また、技術や脅威の動向等を踏まえ、必要に応じて合意事項を見直すこと。