この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
コンシューマ グレードのモバイル デバイスの機能と計算能力は急速に進化しています。生理学的または行動的特徴 (指紋、顔、声紋など) に基づく生体認証を使用した認証技術が開発され、さまざまなモバイル プラットフォームで広く採用されています。パスワード、パターン、SMS メッセージなどのモバイル デバイスでの従来の認証方法と比較して、生体認証の特性は使いやすく、共有するのが困難です。生体認証を使用した認証方法は、いくつかの厄介な制限はあるものの、安全で信頼性が高く便利なソリューションを提供できます。
ただし、モバイル デバイスのコンピューティング環境の断片化 (たとえば、さまざまなオペレーティング システム、さまざまな信頼できる環境の実装、さまざまな生体認証システムの実装、およびモバイル デバイスのオープンな計算環境) は、一貫性のない実装をもたらすことが多く、脆弱性のリスクを高める可能性があります。モバイル デバイスに対する攻撃。この断片化により、セキュリティの課題、脅威、およびモバイル デバイスでバイオメトリクスを使用した認証のためのセキュリティ フレームワークを分析することがさらに必要になります。また、モバイル デバイスでバイオメトリクスを使用した認証アプリケーションのセキュリティ リスクを軽減できる高レベルのセキュリティ要件を指定する必要があります。
このドキュメントのバイオメトリクスは、モバイル デバイスでの認証に使用され、その結果は依拠当事者によって消費されます。このドキュメントは、検証結果に関する情報を除いて、バイオメトリック データおよび派生バイオメトリック データがデバイスから離れない場合、つまりローカル モードに適用されます。
このドキュメントでは、モバイル デバイスでのバイオメトリクスを使用した認証に関する高レベルのセキュリティ要件と推奨事項を提供します。これには、機能コンポーネントや、認証の成功を要求するバイオメトリクス システムとモバイル アプリケーション間の通信が含まれます。詳細なセキュリティ要件は実装に任されています。このドキュメントでは、モバイル デバイスでの生体認証を使用した認証に関するセキュリティの課題、脅威、およびセキュリティ フレームワークについても分析します。
次の内容は、このドキュメントでは扱いません。
- 身元証明と登録要件。
- モバイル デバイスに対して完全にローカルであり、リモート サービスが関与しないアプリケーションへの認証にバイオメトリクスを使用する。
Introduction
The functionalities and computation capabilities of consumer-grade mobile devices are evolving fast. Authentication technologies using biometrics based on physiological or behavioural characteristics (e.g. fingerprint, face, voiceprint) have been developed and widely adopted across various mobile platforms. Compared to traditional authentication methods on mobile devices such as passwords, patterns, or SMS messages, biometric characteristics are easy to use and hard to share. Authentication methods using biometrics can, in some respects, provide a secure, reliable, and convenient solution, albeit with some potentially awkward restrictions.
However, the fragmentation of computing environments for mobile devices (e.g. different operating systems, different trusted environment implementations, different biometric system implementations, and open computation environments in mobile devices) often results in inconsistent implementations, which potentially increase the risks of vulnerabilities in, and attacks against, mobile devices. This fragmentation makes it even more necessary to analyse security challenges, threats, and security frameworks for authentication using biometrics on mobile devices. It is also necessary to specify the high-level security requirements that can mitigate the security risks for applications of authentication using biometrics in mobile devices.
Biometrics in this document is used for authentication on mobile devices whose result is consumed by relying parties. This document applies to the cases where the biometric data and any derived biometric data, except information on the verification outcome, do not leave the device, i.e. local modes.
This document provides high-level security requirements and recommendations for authentication using biometrics on mobile devices, including for functional components and for communication between the biometric system and the mobile applications requesting authentication success. Detailed security requirements are left to implementations. This document also analyses security challenges, threats, and security frameworks for authentication using biometrics on mobile devices.
The following contents are not addressed in this document:
- Identity proofing and enrolment requirements.
- The use of biometrics for authentication to applications which are entirely local to the mobile device and no remote service is involved.