米国商務省標準化技術研究所(NIST)が連邦官吏等に適用する指紋生体認証の詳細規格（案）を公表

Last Updated:March 28,2021

　2005年12月15日に１年間にわたる研究の結果、米国商務省標準化技術研究所（NIST: National　Institute of Standards and Technology）は国家安全保障に関わる大統領指示（Homeland. Security Presidential Directive：HSPD-12）（注1）に基づき指紋認識技術としてマニーシャ方式（注2）がICカードへの生体認証情報を格納できる方式として確信に値するとの結論に至った旨公表し、2006年1月13日までに関係者からのパブリックコメントを求めている（2006年1月以内にはNISTは最終版を作成する予定である）。

　NISTは「HSPD-12」を受け、2005年2月(2006年3月改訂版が最終的なもの)に連邦商務省・行政技術局・NISTがまとめた「連邦情報処理規格201（Federal Information Processing Standards Publication：Personal Identity Verification(PIV) of Federal Employees and Contractors）」に基づき「個人の識別検証に関する生体認証情報仕様(Federal Information Processing 201:Biometroc Data Specification for Personal Identity Verification)：NIST Special Publication 800-76」を公表したものである。その内容は、連邦機関に対しマニーシャ方式に関する「国際情報技術委員会規格358(the InterNational Committee for Information Technology：INCITS)」を使用することすなわち人差し指２本の指紋情報保管を義務付けるものである。

　NISTは、従来からマニーシャ方式については新しくまたその規格自他は十二分に試験がなされていない技術ではあるが、確立してデジタル画像を使用した指紋情報を保管したいとの意向を示していた。過去11か月間の未決定期間を踏まえ、ホワイトハウスが最終的に決定したものである。

　この案に関し、ICカードメーカー団体「SmartCard Alliance」の専務理事(2020年12月に退任)であるランデイ・ヴォンダーフーフ（Randy Vanderhoof）は、次のように述べている。

Randy Vanderhoof 氏

「今回のNISTの決定内容は、現状の32K および64KのICチップ市場で製造可能である。また、NIST自身、今回の規格の詳細が連邦政府の官吏向けの第２次ICつきIDカード（PIV Ⅱ基盤）として適切な規格であるとは感じていないと思う。詳細な規格について評価する時間が無く、現時点で持っているマニーシャ方式規格でもって決定せざるを得なかったと思われる。カード業界は今回の決定の要件を満たすためにカードならびにソフトの作成に動くであろう。

NISTがSP-800-76の公表を急いだ背景には、連邦政府行政予算管理庁（OMB)から政府機関として2006年10月26日までにPIV Ⅱ基盤をスタートさせるために、生体指紋情報を保管する能力を持ったバックエンドシステム（後端システム）を設置しなくてはならないというプレッシャーがかかったといえよう。

　NISTの SP-800-76は、あわせてマニーシャ方式規格の詳細についての包括的な要素情報も提供している。また、顔認識生体技術（facial image biometrics）についても政府による「INCITS 385規格」を求めており、また最小限の性能要件ならびにテスト手続きについての情報を提供している。」

　”NIST Special Publication 800-76”はその改訂が行われ、現在は2007年1月に発表された”SP800-76-1”がNIST標準となっている。

　なお、連邦政府では「生体認証専門サイト(Biometorics.gov)」において標準化の取組み内容について簡潔にまとめている。
*********************************************************************************************************
（注1)「HSPD-12」は、2004年8月27日に公布されたもので、テロ対策として連邦政府の官吏および契約業者に識別に関する規格方針を定めたものである。その目的は政府機能のセキュリティ強化と個人のプライバシー保護の観点からまとめたものである。

（注2）指紋認証技術としては、①パターンマッチング方式（テンプレートに登録してある指紋画像と照合時に入力した指紋画像を直接比較してその類似度を算出するもの）、②マニーシャ方式は、分岐点、端点、中心点、三角州という特徴点（manuitia）の位置や種類、方向性等を利用して照合するもの、の２方式がある。

〔参照URL〕
・http://csrc.nist.gov/publications/nistpubs/800-76-1/SP800-76-1_012407.pdf
・http://www.csrc.nist.gov/publications/fips/fips201/FIPS-201-022505.pdf

*****************************************************************************

（今回のブログは2005年12月19日登録分の改訂版である)

Copyright © 2005-2010 芦田勝(Masaru Ashida)．All Rights Reserved．No reduction or republication without permission．

フィンランド：モバイル国民証明システムの開発責任者からの回答来る

　

　2005年9月１日の夜に8月31日の本ブログで紹介した標記プロジェクトの疑問点について大手携帯電話会社「Elisa」のミツコ・サレーラ(Mikko Saarela)部長にメールで照会したところ、３時間後に本人から各質問項目に即して詳細な回答があった（A4で１枚強）。

　この週末に仮訳して、本ブログで紹介する予定であるが、同国の法律・EU指令に基づく電子署名システム・SIMカードを絡めた高度なセキュリテイ技術を用いるもので、政府や警察などの盗難対策・保障をもあわせ、eGovernmentの中心的な役割を担うもののようである。

ミツコ・サレーラ(Mikko Saarela)部長の回答につき筆者ブログで照会につき再度確認したため、本格的な説明は

以下のブログとなった。

*********************************************************

（今回のブログは2005年9月2日登録分の改訂版である)
　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010 芦田勝(Masaru Ashida)．All Rights Reserved．No reduction or republication without permission．

フィンランドのモバイル国民証明システムへの基本的疑問

　

 Last Updated:March 16,2021

　2005年7月28日に公表されたところによると、フィンランド政府はE-Government (注1)の一環としてSIM(Subscription Identity Module)カード（注2）を含む政府保証による「電子証明システム」、すなわち「モバイル国民証明制度」を2005年末までに全面稼動する。

　同国の人口登録センター（Population Register Centre）が最初のモバイル証明を採用する機関となり、同センターは８月に①住所変更通知、②人口情報システムにおける既存の情報のチェックという２つの業務を開始する。このサービスはフィンランドの第２の携帯電話会社である「Elisa」と共同開発している。その他全国ベースの電子手帳（Sähköinen Reissuvihko）でも利用できるとされている。

　８月以降はさらにm-Governmentサービスの範囲を、①社会保険取扱機関（KELA）、②税徴収当局、③労働省に拡大する予定である。また、ICチップのIDカード、visaの支払いカード、OKO銀行グループによるモバイルバンキングやその他の会社によるモバイル・サービスも予定されている。

　Elisaの国民証明システム計画の責任者であるミッコ・サレーラ氏は、フィンランドでは銀行などに続いてリテールサービス業者や行政機関がこれらのサービスに参入すると述べている。すなわちモバイル証明制度は安全性、使いやすさや価格面で割安であり、多目的な利用方法にかかわらず、単に４桁のデジタルPINのログインのみが必要とされ、従来使用されているユーザーIDやパスワード（ワンタイムパスワードを含む）、銀行コードに替わるものであると述べている。

　しかし、この記事を読んで抱いた疑問は、①多目的本人証明デバイスであるなら当然「ななりすまし（Identity Theft）」対策が重要であろう。今世界のサイバー犯罪、e-Governmentの担当者やIT技術者の最大の課題であり、生体認証技術を含めた各種の技術が試行、実用化されている。フィンランド自身がこの問題を無視しているとは思えない点、②政府の保証付ということは、セキュリティ技術面のことかあるいは損害補償の問題なのか、などである。政府のサイト（e-finland）に「Further info」があり、個別質問に応じている。早速質問メールを出すこととした。

**********************************************************

(注1)フィンランドのSIMカードによる電子認証(メーカーはelisa)に関する詳しい解説「Digital signatures via SIM cards and mobile phones take off in Finland」

がある。また、フィンランドのe-Governmentにおける電子認証すなわち、IDlカードや銀行取引IDについての解説例やeID in Finland : new card design for 2017を参照されたい。

（注2）同カードには顧客の電話番号、ユーザーID、通話料金情報等を記録する。NOKIA（GSM規格）が販売している携帯電話で使用されている。この仕様のメリットは携帯電話本体のメーカーや機種、国にかかわらずカードを交換することで移動しながら、複数の携帯電話利用が可能となる点である。

 

（今回のブログは2005年8月31日登録分の改訂版である)
　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010 芦田勝(Masaru Ashida )．All Rights Reserved．No reduction or republication without permission．