この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部または全部を特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html .
このドキュメントは、技術委員会 ISO/TC 292, セキュリティとレジリエンスによって作成されました。
この初版は、技術的に改訂された ISO 16678:2014 を取り消して置き換えます。
主な変更点は次のとおりです。
- タイトルと番号は、ISO/TC 292 によって開発された他のすべての文書と同じ構造に従うように更新されました。
序章
このドキュメントは、次の 3 つの基本的な仮定に基づいています。
- 偽造品の検出は複雑で、しばしば困難な作業です。
- 問題のオブジェクトに関する正確な身元情報により、偽造品の検出プロセスが簡素化されます。
- 正確な ID 情報は、多くの場合、見つけるのが困難で困難です。
このドキュメントの主な目的は、オブジェクトを認証する際に、インスペクタへの正確な ID 情報のアクセスと配信を簡素化することです。
この目的を達成するために、このドキュメントでは、オブジェクト ID 情報を見つけて使用しやすくするためのガイダンスを提供します。 ID データと情報は、検証システムや認証システムなど、さまざまな場所で見つけることができます。この文書により、検査官は ID 情報に簡単にアクセスできるようになり、検査官に信頼できる ID 情報へのアクセスを許可することで、偽造品の検出が容易になります。
このドキュメントでは、オブジェクト情報の要求を適切な権限のあるサービスにルーティングし、応答をインスペクターに戻すことに注意を向けます。
オブジェクト識別システムは、通常、一意の識別子 (UID) を使用してオブジェクト情報を参照またはアクセスします。 UID は、オブジェクトのクラスに割り当てることも、個別のオブジェクトに割り当てることもできます。いずれの場合も、UID は偽造や詐欺の検出を強化できますが、単一のインスタンスに割り当てられた UID の方が効率的です。
この文書には以下が含まれます。
- 用語と定義;
- オブジェクト情報を使用して偽造品を検出する方法の概要。
- 原則、概念、価値観。
- オブジェクト情報を検査員に提供できるシステムの相互運用性を改善する方法に関する推奨事項。
- 提示された概念のいくつかを説明する特定の例。
この文書により、信頼性が高く安全なオブジェクト識別が可能になり、違法なオブジェクトが市場に導入されたことを判断できます。
これには、オブジェクト識別ソリューションを相互運用可能にすることで信頼を高めることを目的としたフレームワークが含まれています。たとえば、このフレームワークでは、次の方法の方法とソリューションについて説明しています。
- 製品を認証せずにいくつかの偽造品を検出します。
- 認証要素を評価します。
- オブジェクトのリモート記述が信頼できることを正式に証明します。
このドキュメントは、ISO 22380, ISO 22381, ISO 22382, ISO 22383, ISO 22384 を含む一連の規格の一部です。
このドキュメントの 1 つの目標は、異種のオブジェクト識別ソリューションが相互運用可能であり、信頼性が向上し、したがってより頻繁に使用されるフレームワークを説明することです。フレームワークには、製品を認証せずに偽造品を単純に検出するソリューションも含める必要があります。同様に、認証要素のみを評価するソリューションもフレームワークに含める必要があります。
オブジェクト識別システム自体も偽造およびコピーできると仮定すると、このドキュメントは、オブジェクトのリモート記述が信頼できることを正式に証明する方法を確立します。オブジェクトのリモート記述が信頼できることを正式に証明する方法を確立します。そのようなシステムの異なる独立した実装間の干渉を防ぎ、複数のユースケースとアプリケーションにサービスを提供するための明確な一意の識別参照を許可するように考慮されています。
システムの設計を裏付ける理論は、信頼の欠如と相互運用性の欠如がユーザーに「摩擦」をもたらすというものです。この摩擦を減らすことで、認知度と使用率が向上し、不正行為の検出と抑止力が向上します。
このドキュメントは、相互運用性の確立とセットアップをガイドする ISO 22381:2018 によって補完されます。
1 スコープ
このドキュメントは、識別および認証システムのフレームワークを確立します。以下を含む推奨事項とベスト プラクティスを提供します。
- 識別子の管理と検証。
- 識別子の物理的表現;
- 参加者のデューデリジェンス;
- システム内のすべての参加者の審査。
- 一意の識別子 (UID) とそれに関連する可能性のある認証要素との関係。
- 検査官の身元確認と、オブジェクトに関する特権情報への許可されたアクセスに関する質問。
- インスペクタのアクセス履歴 (ログ)
このドキュメントで説明するモデルは、さまざまなシステムの共通機能を決定することを目的としています。
このドキュメントでは、一般モデルのプロセス、機能、および機能単位について説明します。特定の技術的ソリューションを指定するものではありません。
オブジェクト識別システムには、サプライ チェーンのトレーサビリティ、品質のトレーサビリティ、マーケティング活動など、他の機能や機能を組み込むことができますが、これらの側面はこのドキュメントの範囲外です。
注このドキュメントは、GS1 Global Trade Item Number (GTIN) などの業界固有の要件には言及していません。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 22300, セキュリティとレジリエンス — 語彙
3 用語と定義
このドキュメントの目的のために、ISO 22300 で指定されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
参考文献
| [1] | ISO 3166-1, 国とその下位区分の名前を表すためのコード — 1: 国コード |
| [2] | ISO 22380, セキュリティと回復力 - 製品と文書の真正性、完全性、信頼性 - 製品詐欺のリスクと対策の一般原則 |
| [3] | ISO 22381:2018, セキュリティとレジリエンス — 製品とドキュメントの認証性、完全性、および信頼 — オブジェクト識別システム間の相互運用性を確立して偽造と違法取引を判断するためのガイドライン |
| [4] | ISO 22382, セキュリティとレジリエンス — 製品とドキュメントの真正性、完全性、および信頼 — 物品税印紙の内容、セキュリティ、発行および検査に関するガイドライン |
| [5] | ISO 22383, セキュリティとレジリエンス — 製品とドキュメントの真正性、完全性、および信頼 — 有形財の認証ソリューションの選択と性能評価のガイドライン |
| [6] | ISO 22384, セキュリティと回復力 - 製品とドキュメントの真正性、完全性、および信頼 - 保護計画とその実装を確立および監視するためのガイドライン |
| [7] | ISO/IEC 9594-8, 情報技術 — オープン システム相互接続 — 8: ディレクトリ: 公開鍵と属性証明書のフレームワーク |
| [8] | ANSI MH 10.8.2, データ識別子およびアプリケーション識別子標準 |
| [9] | ETSI/TS 101 456, 電子署名とインフラストラクチャ (ESI)認定証明書を発行する証明機関のポリシー要件 |
| [10] | ETSI/TS 102 042, 電子署名とインフラストラクチャ (ESI)公開鍵証明書を発行する証明機関のポリシー要件 |
| [11] | ITU-T 勧告 X.509 (03/00)、情報技術 - オープン システム相互接続 - ディレクトリ: 公開鍵および属性証明書フレームワーク |
| [12] | WebTrust for CA, 多くのブラウザから指定された CA 基準 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
This first edition cancels and replaces ISO 16678:2014, which has been technically revised.
The main changes are as follows:
- the title and number have been updated to follow the same structure as all other documents developed by ISO/TC 292.
Introduction
This document is based on three foundational assumptions:
- detecting counterfeit objects is a complex and often difficult task;
- accurate identity information about the object in question simplifies the counterfeit detection process;
- accurate identity information is often difficult and hard to find.
The main objective of this document is to simplify access and delivery of accurate identity information to inspectors when authenticating objects.
To accomplish this objective, the document provides guidance intended to make object identity information easier to find and use. Identity data and information can be found in many places, including verification and authentication systems. This document will make it easier for inspectors to access identity information and granting inspectors access to reliable identity information helps facilitate the detection of counterfeits.
This document focuses attention on routing requests for object information to the appropriate authoritative service and then routing responses back to inspectors.
Object identification systems commonly use unique identifiers (UID) to reference or access object information. UID can be assigned to a class of objects or can be assigned to distinct object. In either case, the UID can enhance detection of counterfeiting and fraud, although UIDs assigned to single instances can be more efficient.
This document contains:
- terms and definitions;
- an overview on how object information is used to detect counterfeits;
- principles, concepts and values;
- recommendations on how to improve interoperability of systems capable of providing object information to inspectors;
- specific examples that illustrate some of the concepts presented.
This document enables reliable and safe object identification to deter the introduction of illegal objects to the market.
It includes a framework with the objective to increase trust by making object identification solutions interoperable. For example, the framework describes method and solutions for how to:
- detect some counterfeits without authenticating products;
- evaluate an authentication element;
- formally prove that a remote description of an object can be trusted.
This is document is part of a family of standards which includes ISO 22380, ISO 22381, ISO 22382, ISO 22383, ISO 22384.
One goal of this document is to describe a framework in which disparate object identification solutions are interoperable and trust is increased, and therefore will be used more frequently. The framework should also include solutions which simply detect some counterfeits without authenticating products. Likewise, the framework should also include a solution which only evaluates an authentication element.
Assuming that the object identification systems themselves can also be counterfeited and copied, This document establishes a method to formally prove that a remote description of an object can be trusted. establishes a method to formally prove that a remote description of an object can be trusted. Consideration is given to prevent interference between different independent implementations of such systems and to allow an unambiguous unique identification reference to service multiple use-cases and applications.
The theory supporting the design of the system is that a lack of trust and lack of interoperability introduces “friction” for users. By reducing this friction, there will be greater awareness and usage, and therefore greater detection and deterrence of fraud.
This document is complemented by ISO 22381:2018, which guides the establishment and set-up of interoperability.
1 Scope
This document establishes a framework for identification and authentication systems. It provides recommendations and best practice that include:
- management and verification of identifiers;
- physical representation of identifiers;
- participants’ due diligence;
- vetting of all participants within the system;
- relationship between the unique identifier (UID) and possible authentication elements related to it;
- questions that deal with the identification of the inspector and any authorized access to privileged information about the object;
- inspector access history (logs).
The model described in this document is intended to determine the common functions of different systems.
This document describes processes, functions and functional units of a generic model. It does not specify any specific technical solutions.
Object identification systems can incorporate other functions and features such as supply chain traceability, quality traceability, marketing activities and others, but these aspects are out of scope of this document.
NOTE This document does not refer to industry-specific requirements such as GS1 Global Trade Item Number (GTIN).
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
Bibliography
| [1] | ISO 3166-1, Codes for the representation of names of countries and their subdivisions — 1: Country code |
| [2] | ISO 22380, Security and resilience — Authenticity, integrity and trust for products and documents — General principles for product fraud risk and countermeasures |
| [3] | ISO 22381:2018, Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for establishing interoperability among object identification systems to deter counterfeiting and illicit trade |
| [4] | ISO 22382, Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for the content, security, issuance and examination of excise tax stamps |
| [5] | ISO 22383, Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for the selection and performance evaluation of authentication solutions for material goods |
| [6] | ISO 22384, Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines to establish and monitor a protection plan and its implementation |
| [7] | ISO/IEC 9594-8, Information technology — Open systems interconnection — 8: The Directory: Public-key and attribute certificate frameworks |
| [8] | ANSI MH 10.8.2, Data Identifier and Application Identifier Standard |
| [9] | ETSI/TS 101 456, Electronic Signatures and Infrastructures (ESI); Policy requirement for certification authorities issuing qualified certificates |
| [10] | ETSI/TS 102 042, Electronic Signatures and Infrastructures (ESI); Policy requirement for certification authorities issuing public key certificates |
| [11] | ITU-T Recommendation X.509 (03/00), Information Technology — Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks |
| [12] | WebTrust for CA, CA criteria designated from many browsers |