この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
攻撃提示獲得率
APAR
データ収集サブシステムが十分な品質の生体認証サンプルを取得するのと同じ PAI 種 (3.15) を使用した攻撃プレゼンテーションの割合
[出典: ISO/IEC 30107-3: 2017, 3.2.5]
3.2
攻撃提示分類エラー率
エイサー
特定のシナリオで、 善意のプレゼンテーション (3.5) として誤って分類された同じ PAI 種 (3.15) を使用した攻撃プレゼンテーションの割合
[出典: ISO/IEC 30107-3: 2017, 3.2.1]
3.3
攻撃提示無反応率
APNRR
PADサブシステムまたはデータ収集サブシステムで応答を引き起こさない同じ PAI種(3.15) を使用した攻撃提示の割合
例:
指紋システムは、PAI のリアリズムの欠如により、PAI の提示を登録または反応しない場合があります。
[出典: ISO/IEC 30107-3: 2017, 3.2.3]
3.4
攻撃タイプ
PAI 種 (3.15) 、コンシーラーまたは詐欺師の攻撃、監督の程度、およびキャプチャ デバイスとの相互作用の方法を含む、プレゼンテーション攻撃の要素および特徴
[出典: ISO/IEC 30107-3: 2017, 3.1.3]
3.5
正真正銘のプレゼンテーション
バイオメトリック システムのポリシーによって意図された方法での、バイオメトリック キャプチャ サブジェクトとバイオメトリック データ キャプチャ サブシステムの相互作用。
注記 1: Bona fide は、bona fide プレゼンテーションを参照するときの通常またはルーチンに類似しています。
注記 2:正真正銘のプレゼンテーションには、ユーザーのトレーニングやスキルのレベルが低いものを含めることができます。善意のプレゼンテーションには、バイオメトリック データ キャプチャ サブシステムへの誠実なプレゼンテーションがすべて含まれます。
[出典: ISO/IEC 30107-3: 2017, 3.1.2]
3.6
正真正銘のプレゼンテーション分類エラー率
BPCER
特定のシナリオでプレゼンテーション攻撃として誤って分類された 善意のプレゼンテーション (3.5) の 割合
[出典: ISO/IEC 30107-3: 2017, 3.2.2]
3.7
正真正銘のプレゼンテーションの無回答率
BPNRR
PAD サブシステムまたはデータ収集サブシステムで応答を引き起こさない 善意の提示 (3.5) の 割合
[出典: ISO/IEC 30107-3: 2017, 3.2.4]
3.8
コンシーラーアタック提示未確認率
カプニール
<識別システムの完全なシステム評価> 同じ PAI 種 (3.15) を使用したコンシーラー提示攻撃の割合で、コンシーラーの参照識別子が返された識別子の中に含まれていないか、意図したユースケースに応じて、識別子が含まれていない戻ってきた
注記1:ブラックリストなどの否定的な識別システムでは、隠蔽者は、人間のオペレーターによる精査を避けるために、識別子が返されないように意図することができます。
[出典: ISO/IEC 30107-3: 2017, 3.2.9]
3.9
コンシーラーアタック提示不一致率
CAPNMR
<検証システムの完全なシステム評価> コンシーラーのリファレンスが一致しない、同じ PAI 種 (3.15) を使用したコンシーラー攻撃プレゼンテーションの割合
[出典: ISO/IEC 30107-3: 2017, 3.2.7]
3.10
偽陰性識別エラー率
FNIR
システムに登録されたユーザーによる識別トランザクションのうち、返されたユーザーの正しい ID が含まれていない割合。
[出典: ISO/IEC 19795-1:2006, 4.6.8]
3.11
偽陽性識別エラー率
FPIR
識別子が返される、システムに登録されていないユーザーによる識別トランザクションの割合
[出典: ISO/IEC 19795-1:2006, 4.6.9]
3.12
なりすまし攻撃提示識別率
IAPIR
<識別システムの完全なシステム評価> 同じ PAI 種 (3.15) を使用したなりすまし攻撃プレゼンテーションの割合で、対象となる参照識別子が返された識別子の中に含まれているか、意図したユースケースに応じて、少なくとも 1 つの識別子がシステム
注記 1:攻撃者は、詐欺師 (既存の非自己登録者と一致させようとする) と隠蔽者 (実際のバイオメトリック サンプルを PAI で覆い隠す) の両方になる可能性があります。
[出典: ISO/IEC 30107-3: 2017, 3.2.8]
3.13
なりすまし攻撃提示一致率
IAPMR
<検証システムの完全なシステム評価> ターゲット参照が一致する同じ PAI 種 (3.15) を使用したインポスター攻撃プレゼンテーションの割合
[出典: ISO/IEC 30107-3: 2017, 3.2.6]
3.14
非標準 PAI
プレゼンテーション攻撃手段 (PAI) は、標準の PAI 種 (3.18) に対応していません。
3.15
PAI種
一般的な製造方法を使用し、異なる生体認証特性に基づいて作成されたプレゼンテーション攻撃手段のクラス
例 1:
すべて同じ材料を使用して同じ方法で作成されたが、摩擦隆起パターンが異なる偽の指紋のセットは、PAI 種を構成します。
例 2:
複数のデータ収集対象者の指紋に加えられた特定の種類の変更は、PAI 種を構成します。
注記1: 「レシピ」という用語は、PAI種の作り方を指すためによく使用されます。
注記 2:同じ種のプレゼンテーション攻撃ツールは、生産プロセスのばらつきにより、成功率が異なる場合があります。
[出典: ISO/IEC 30107-3: 2017, 3.1.6]
3.16
侵入テスト
関連する評価活動中に収集された TOE に関する情報に基づいて、TOE の脆弱性を明らかにしようとする、脆弱性評価のための脆弱性分析に使用されるテスト。
注記 1 ISO/IEC 15408 シリーズでは、この用語は定義なしで使用されている。
3.17
デフォルト PAI
標準 PAI 種の PAI (3.18)
3.18
標準 PAI 種
PAI 種 (3.15) 評価を実施する目的で、認証機関または技術コミュニティによって標準として決定および指定されたもの
注記 1:標準 PAI 種が指定されていない場合、開発者と評価者は、評価活動で使用する 非標準 PAI (3.14) を準備します。
参考文献
| [1] | ISO/IEC 2382-37:2017, 情報技術 — 語彙 — 37:バイオメトリクス |
| [2] | ISO/IEC 15408-1:2009, 情報技術 — セキュリティ技術 — IT セキュリティの評価基準 — 1: 導入と一般的なモデル |
| [3] | ISO/IEC 19792:2009, 情報技術 — セキュリティ技術 — バイオメトリクスのセキュリティ評価 |
| [4] | ISO/IEC 19795-1:2006, 情報技術 —生体認証性能試験および報告 — 1: 原則と枠組み |
| [5] | ISO/IEC 30107-1:2016, 情報技術 — バイオメトリック プレゼンテーション攻撃の検出 — 1: フレームワーク |
| [6] | 連邦情報セキュリティ局、組織のセキュリティ ポリシーに基づく指紋スプーフィング検出保護プロファイル FSDPP_OSP v1.7, 2009 年 11 月 |
| [7] | Ellingsgaard, J., Sousedik, C., Busch, C., Detecting Fingerprint Alterations by Orientation Field and Minutiae Orientation Analysis, in the Proceedings of the 2nd International Workshop on Biometrics and Forensics 2014 (IWBF 2014), 27-28th March 2014, Valletta 、マルタ、(2014) |
| [8] | Gomez-Barrero M, Galbally J, Morales A, Ferrer M, Fierrez J, Ortega-Garcia J. 新しい手の再建アプローチとその脆弱性評価への応用。情報科学、268:103-121, 2014 |
| [9] | Gottschlich C, Mikaelyan A, Olsen M, Bigun J, Busch C Improving Fingerprint Alteration Detection, in Proceedings 9th International Symposium on Image and Signal Processing and Analysis (ISPA 2015), 9 月 7 ~ 9 日, ザグレブ, クロアチア, (2015) |
| [10] | Haraksim R, Anthonioz A, Champod C, Olsen M, Ellingsgaard J, Busch. C. 変更された指紋検出 - アルゴリズム性能評価、Proceedings of the 4th International Workshop on Biometrics and Forensics 201, 2016 年 3 月 3 ~ 4 日、リマソール、キプロス、(2016) |
| [11] | Martinez-Diaz M Fierrez J Galbally J Ortega-Garcia J 指紋認証システムにおける間接攻撃と対策の評価。パターン認識レター、32(12):1643–1651, 2011 |
| [12] | Tecampe N, Merle A, Bringer J, Gomez-Barrero M, Fierrez J, Galbally J D6.5: 生体認証システムの共通基準評価に向けて、2016 年 3 月 |
| [13] | Yoon S, Feng J, Jain AK 変更された指紋: 分析と検出IEEE トランス パターン アナル。行うインテル。 、巻。 34, no. 3, pp. 451–464, (2012) |
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
attack presentation acquisition rate
APAR
proportion of attack presentations using the same PAI species (3.15) from which the data capture subsystem acquires a biometric sample of sufficient quality
[SOURCE: ISO/IEC 30107-3: 2017, 3.2.5]
3.2
attack presentation classification error rate
APCER
proportion of attack presentations using the same PAI species (3.15) incorrectly classified as bona fide presentations (3.5) in a specific scenario
[SOURCE: ISO/IEC 30107-3: 2017, 3.2.1]
3.3
attack presentation non-response rate
APNRR
proportion of attack presentations using the same PAI species (3.15) that cause no response at the PAD subsystem or data capture subsystem
EXAMPLE:
A fingerprint system may not register or react to the presentation of a PAI due to the PAI’s lack of realism.
[SOURCE: ISO/IEC 30107-3: 2017, 3.2.3]
3.4
attack type
element and characteristic of a presentation attack, including PAI species (3.15) , concealer or impostor attack, degree of supervision, and method of interaction with the capture device
[SOURCE: ISO/IEC 30107-3: 2017, 3.1.3]
3.5
bona fide presentation
interaction of the biometric capture subject and the biometric data capture subsystem in the fashion intended by the policy of the biometric system
Note 1 to entry: Bona fide is analogous to normal or routine, when referring to a bona fide presentation.
Note 2 to entry: Bona fide presentations can include those in which the user has a low level of training or skill. Bona fide presentations encompass the totality of good-faith presentations to a biometric data capture subsystem.
[SOURCE: ISO/IEC 30107-3: 2017, 3.1.2]
3.6
bona fide presentation classification error rate
BPCER
proportion of bona fide presentations (3.5) incorrectly classified as presentation attacks in a specific scenario
[SOURCE: ISO/IEC 30107-3: 2017, 3.2.2]
3.7
bona fide presentation non-response rate
BPNRR
proportion of bona fide presentations (3.5) that cause no response at the PAD subsystem or data capture subsystem
[SOURCE: ISO/IEC 30107-3: 2017, 3.2.4]
3.8
concealer attack presentation non-identification rate
CAPNIR
<full-system evaluation of an identification system> proportion of concealer presentation attacks using the same PAI species (3.15) in which the reference identifier of the concealer is not among the identifiers returned or, depending on intended use case, in which no identifiers are returned
Note 1 to entry: In a negative identification system, such as a black-list, the concealer can intend that no identifiers are returned to avoid scrutiny by a human operator.
[SOURCE: ISO/IEC 30107-3: 2017, 3.2.9]
3.9
concealer attack presentation non-match rate
CAPNMR
<full-system evaluation of a verification system> proportion of concealer attack presentations using the same PAI species (3.15) in which the reference of the concealer is not matched
[SOURCE: ISO/IEC 30107-3: 2017, 3.2.7]
3.10
false-negative identification-error rate
FNIR
proportion of identification transactions by users enrolled in the system in which the user’s correct identifier is not among those returned
[SOURCE: ISO/IEC 19795-1:2006, 4.6.8]
3.11
false-positive identification-error rate
FPIR
proportion of identification transactions by users not enrolled in the system, where an identifier is returned
[SOURCE: ISO/IEC 19795-1:2006, 4.6.9]
3.12
impostor attack presentation identification rate
IAPIR
<full-system evaluation of an identification system> proportion of impostor attack presentations using the same PAI species (3.15) in which the targeted reference identifier is among the identifiers returned or, depending on intended use case, at least one identifier is returned by the system
Note 1 to entry: An attacker can be both an impostor (trying to match an existing non-self enrolee) and a concealer (obscuring his real biometric sample with a PAI).
[SOURCE: ISO/IEC 30107-3: 2017, 3.2.8]
3.13
impostor attack presentation match rate
IAPMR
<full-system evaluation of a verification system> proportion of impostor attack presentations using the same PAI species (3.15) in which the target reference is matched
[SOURCE: ISO/IEC 30107-3: 2017, 3.2.6]
3.14
non-standard PAI
presentation attack instrument (PAI) not corresponding to a standard PAI species (3.18) .
3.15
PAI species
class of presentation attack instruments created using a common production method and based on different biometric characteristics
EXAMPLE 1:
A set of fake fingerprints all made in the same way with the same materials but with different friction ridge patterns would constitute a PAI species.
EXAMPLE 2:
A specific type of alteration made to the fingerprints of several data capture subjects would constitute a PAI species.
Note 1 to entry: The term “recipe” is often used to refer to how to make a PAI species.
Note 2 to entry: Presentation attack instruments of the same species may have different success rates due to variability in the production process.
[SOURCE: ISO/IEC 30107-3: 2017, 3.1.6]
3.16
penetration testing
testing used in vulnerability analysis for vulnerability assessment, trying to reveal vulnerabilities of the TOE based on the information about the TOE gathered during the relevant evaluation activities
Note 1 to entry: In the ISO/IEC 15408 series, this term is used without definition.
3.17
standard PAI
PAI in standard PAI species (3.18)
3.18
standard PAI species
PAI species (3.15) determined and specified as standard by a certification body or a technical community for the purpose of conducting evaluations
Note 1 to entry: If standard PAI species are not specified, the developer as well as the evaluator prepare non-standard PAIs (3.14) to use in evaluation activities.
Bibliography
| [1] | ISO/IEC 2382-37:2017, Information technology — Vocabulary — 37: Biometrics |
| [2] | ISO/IEC 15408-1:2009, Information technology — Security techniques — Evaluation criteria for IT security — 1: Introduction and general model |
| [3] | ISO/IEC 19792:2009, Information technology — Security techniques — Security evaluation of biometrics |
| [4] | ISO/IEC 19795-1:2006, Information technology — Biometric performance testing and reporting — 1: Principles and framework |
| [5] | ISO/IEC 30107-1:2016, Information technology — Biometric presentation attack detection — 1: Framework |
| [6] | Bundesamt für Sicherheit in der Informationstechnik, Fingerprint Spoof Detection Protection Profile based on Organisational Security Policies FSDPP_OSP v1.7, November 2009 |
| [7] | Ellingsgaard, J., Sousedik, C., Busch, C., Detecting Fingerprint Alterations by Orientation Field and Minutiae Orientation Analysis, in Proceedings of the 2nd International Workshop on Biometrics and Forensics 2014 (IWBF 2014), 27-28th March 2014, Valletta, Malta, (2014) |
| [8] | Gomez-Barrero M., Galbally J., Morales A., Ferrer M., Fierrez J., Ortega-Garcia J., A novel hand reconstruction approach and its application to vulnerability assessment. Information Sciences, 268:103–121, 2014 |
| [9] | Gottschlich, C., Mikaelyan, A., Olsen, M., Bigun, J., Busch, C., Improving Fingerprint Alteration Detection, in Proceedings 9th International Symposium on Image and Signal Processing and Analysis (ISPA 2015), 7-9 September, Zagreb, Croatia, (2015) |
| [10] | Haraksim, R., Anthonioz, A., Champod, C., Olsen, M., Ellingsgaard, J., Busch. C. Altered fingerprint detection - Algorithm performance evaluation, in Proceedings of the 4th International Workshop on Biometrics and Forensics 2016 (IWBF 2016), 3-4th March 2016, Limassol, Cyprus, (2016) |
| [11] | Martinez-Diaz M., Fierrez J., Galbally J., Ortega-Garcia J., An evaluation of indirect attacks and countermeasures in fingerprint verification systems. Pattern Recognition Letters, 32(12):1643–1651, 2011 |
| [12] | Tekampe N., Merle A., Bringer J., Gomez-Barrero M., Fierrez J., Galbally J., D6.5: Towards the Common Criteria evaluations of biometric systems, March 2016 |
| [13] | Yoon S., Feng J., Jain A. K., Altered Fingerprints: Analysis and Detection, IEEE Trans. Pattern Anal. Mach. Intell., vol. 34, no. 3, pp. 451–464, (2012) |