この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
攻撃提示分類エラー率
エイサー
特定のシナリオで善意のプレゼンテーションとして誤って分類された同じプレゼンテーション攻撃手段 (PAI) 種を使用した攻撃プレゼンテーションの割合
注記 1: PAI は、 プレゼンテーション攻撃 (3.17) で使用されるバイオメトリック特性またはオブジェクトを意味します。
[出典:ISO/IEC 30107-3:2017, 3.2.1, 修正 — 注記 1 をエントリに追加]
3.2
アーティファクト
バイオメトリック特性または合成バイオメトリック パターンのコピーを提示する人工物または表現
[出典:ISO/IEC 30107-1:2016, 3.1]
3.3
認証
エンティティの身元保証の提供
[出典:ISO/IEC 29115:2013, 3.2]
3.4
認証エージェント
モバイル デバイス上で認証関連の機能を実行し、ローカル バイオメトリック コンポーネントと対話する、モバイル デバイス内のコンポーネント。
3.5
認証クレデンシャル
エンティティの認証に使用できる情報を含むクレデンシャル
[出典:ISO/IEC 20009-4:2017, 3.3]
3.6
認証サービス プロバイダー
認証サービスを 依拠当事者 (3.19) に提供するエンティティ
3.7
生体認証データ
処理の任意の段階での生体認証サンプルまたは生体認証サンプルの集合
例:
バイオメトリック参照、バイオメトリック プローブ、バイオメトリック機能、またはバイオメトリック プロパティ。
注記 1:生体認証データは、特定の個人に帰属する必要はありません (例: Universal Background Models)
[出典:ISO/IEC 2382-37:2022, 03/37/06]
3.8
生体情報
生体認証データ(3.7) によって伝達または表現される情報
注記 1:バイオメトリック データには、たとえば、バイオメトリック システム内でバイオメトリック データに関連して処理される、バイオメトリック データから派生または変換されたデータが含まれます。
[出典:ISO/IEC 24745:2022, 3.9]
3.9
生体認証サンプル
生体認証基準と比較するためのアルゴリズムへの生体認証サンプル(3.12) または生体認証機能セット入力
[出典:ISO/IEC 2382-37:2022, 2014 年 3 月 37 日、修正 — エントリへの注記は削除されました。]
3.10
生体認証処理ユニット
BPU
単一の物理ユニットに実装された生体認証サブプロセスのコレクションの信頼できる実装
注記 1: BPU は一般に、バイオメトリック検証のプロセス フローで連続するバイオメトリック サブプロセスで構成されます。
注記 2:アプリケーション/サービス要件では、通常、BPU サブプロセスが一定レベルのセキュリティ保証を満たす必要があります。 ACBio では、ACBio インスタンスに埋め込まれた X.509 証明書によって認証される BPU 評価プロセスを通じて保証が達成されます。
[出典:ISO/IEC 24761:2019, 3.3]
3.11
生体認証
生物学的および行動特性に基づく個人の自動認識
[SOURCE:ISO/IEC 2382-37:2022, 37.01.03, modified — エントリへの注記は削除されました。]
3.12
生体サンプル
生体特徴抽出前の生体特徴のアナログまたはデジタル表現
例:
指の画像を含むレコードは生体認証サンプルです。
[出典:ISO/IEC 2382-37:2022, 03/37/21]
3.13
資格情報
認証に使用するアイデンティティの表現 (3.3)
注記 1: ISO/IEC 24760-1:2019 の 5.4 に記述されているように、クレデンシャルの慣習的な理由は非常に多様です。この広い範囲に対応するために、このドキュメントで採用されている定義は非常に一般的です。
注記2クレデンシャルは通常、それが表す身元に関する身元情報のデータ認証を容易にするために作成されます。通常、データ認証は認可で使用されます。
注記 3:クレデンシャルによって表される ID 情報は、たとえば、人間が読み取れる媒体に印刷したり、物理トークンに格納したりすることができます。通常、そのような情報は、認識された有効性を強化するように設計された方法で提示できます。
注記 4:クレデンシャルは、ユーザー名、パスワード付きのユーザー名、PIN, スマートカード、トークン、指紋、パスポートなどです。
[出典:ISO/IEC 24760-1:2019, 3.3.5]
3.14
デバイスバインディング
特定のデバイスとデータ (クレデンシャル) および所有者 (クレデンシャルを取得する個人) との関連付け
注記 1結合プロセスは、通常、既知のレベルの保証を提供します。
3.15
情報資産
個人または組織にとって価値のある知識またはデータ
[出典:ISO/IEC 27032:2012, 4.27, 修正 – エントリの注 1 が削除された]
3.16
モバイルデバイス
小型、コンパクト、ハンドヘルド、軽量、スタンドアロン コンピューティング デバイス。通常、デジタイザ入力および/または小型キーボードを備えたディスプレイ画面を備えています。
注記 1:例としては、ラップトップ、タブレット PC, ウェアラブル情報通信技術 (ICT) デバイス、およびスマートフォンが含まれます。
[出典:ISO/IEC 30107-4:2020, 3.1]
3.17
プレゼンテーション攻撃
生体認証システムの動作を妨害することを目的とした、生体認証データ キャプチャ サブシステムへの提示
注記 1:プレゼンテーション攻撃は、アーティファクト、切断、リプレイなど、さまざまな方法で実行できます。
注記 2:プレゼンテーション攻撃には、なりすましや認識されないなど、多くの目的があります。
注記3:生体認証システムは、システム操作を妨害することを目的とした生体認証提示攻撃と、適合しない提示を区別できない可能性があります。
[出典: ISO/IEC 30107-1:2016, 3.5, modified — 注記 2 および 3 の「可能性がある」は「できる」に、「可能性がある」に変更された。]
3.18
プレゼンテーション攻撃の検出
パッド
プレゼンテーション攻撃の自動判定 (3.17)
注記1: PADは被験者の意図を推測できない。実際、データ取得プロセスまたは取得したサンプルからその違いを導き出すことは不可能な場合があります。
[出典:ISO/IEC 30107-1:2016, 3.6]
3.19
依拠当事者
RP
特定のエンティティの身元情報の検証に依存するエンティティ
注記 1:依拠当事者は、誤った ID 情報によって引き起こされるリスクにさらされます。通常、1 つ以上の ID 情報機関との信頼関係があります。
注記 2:このドキュメントのコンテキストでは、RP はサーバーとエージェントとして実装されます。 RP エージェントは、モバイル デバイスにあるソフトウェア コンポーネントであり、RP サーバーへの認証要求を開始し、返された情報を表示し、ID 情報プロバイダー (IIP) エージェントと対話して認証プロセスを実行します。
例:
RP エージェントは、モバイル ブラウザにすることができます。
[出典:ISO/IEC 24760-1:2019, 3.3.7, 修正 – エントリへの注 2 と例を追加]
3.20
再生可能なバイオメトリック基準
RBR
キャプチャされた生体認証サンプルから (再) 構築された保護されたバイナリ ID によってドメイン内の個人またはデータ主体を表し、不可逆性の要件を満たす更新可能な識別子
注記1不可逆性要件を満たす再生可能なバイオメトリック参照は、追加のセキュリティ特性を提供します。
注記2:更新可能なバイオメトリック参照の例は、仮名識別子と、補助データなどのバイオメトリック検証または識別に必要な追加データ要素です。
[出典:ISO/IEC 24745:2022, 3.34]
3.21
脅威
システムまたは組織に損害を与える可能性のある望ましくないインシデントの潜在的な原因
[出典:ISO/IEC 27000:2018, 3.74]
3.22
信頼できる環境
内部にロードされたコードとデータの機密性と完全性を保証する安全な領域
注記 1:例としては、トラステッド実行環境 (TEE)、SE セキュア エレメント (SE)、およびトラステッド プラットフォーム モジュール (TPM) が含まれます。詳細については、ISO 12812-1 および ISO/IEC 11889 シリーズを参照してください。
参考文献
| [1] | ISO/IEC TR 30125, 情報技術 — モバイル デバイスで使用されるバイオメトリクス |
| [2] | ISO/IEC 29115:2013, 情報技術 - セキュリティ技術 - エンティティ認証保証フレームワーク |
| [3] | ISO/IEC 20009-4, 情報技術 — セキュリティ技術 — 匿名エンティティ認証 — 4:弱い秘密に基づくメカニズム |
| [4] | ISO/IEC 2382-37:2022, 情報技術 — 語彙 — 37:バイオメトリクス |
| [5] | ISO 12812-1, コアバンキング — モバイル金融サービス — 1: 一般的な枠組み |
| [6] | ISO/IEC 19792, 情報技術 - セキュリティ技術 - バイオメトリクスのセキュリティ評価 |
| [7] | ISO/IEC 19989, 情報セキュリティ — 生体認証システムのセキュリティ評価の基準と方法論 |
| [8] | ISO/IEC 24760-1, IT セキュリティとプライバシー — ID 管理のフレームワーク — 1: 用語と概念 |
| [9] | ISO/IEC 27034-3, 情報技術 — アプリケーション セキュリティ — 3: アプリケーションのセキュリティ管理プロセス |
| [10] | ISO/IEC 3010, 情報技術 — バイオメトリック プレゼンテーション攻撃の検出 |
| [11] | ISO/IEC 24761, 情報技術 — セキュリティ技術 — バイオメトリクスの認証コンテキスト |
| [12] | ISO/IEC 29100:2011, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
| [13] | ISO/IEC 29134:2017, 情報技術 — セキュリティ技術 — プライバシー影響評価のガイドライン |
| [14] | ISO/IEC 29184:2020, 情報技術 — オンラインのプライバシー通知と同意 |
| [15] | ISO/IEC 29151:2017, 情報技術 — セキュリティ技術 — 個人を特定できる情報保護のための行動規範 |
| [16] | ISO/IEC 27007:2020, 情報セキュリティ、サイバーセキュリティ、およびプライバシー保護 — 情報セキュリティ管理システム監査のガイドライン |
| [17] | ISO/IEC 27701:2019, セキュリティ技術 - プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 への拡張 - 要件とガイドライン |
| [18] | ISO/IEC 19795-1:2021, 情報技術 — 生体認証性能試験および報告 — 1: 原則と枠組み |
| [19] | ISO/IEC 15408-3, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — IT セキュリティの評価基準 — 3: セキュリティ保証コンポーネント |
| [20] | ISO/IEC 18031, 情報技術 - セキュリティ技術 - ランダム ビット生成 |
| [21] | ISO/IEC TR 29156, 情報技術 — バイオメトリクスを使用するアプリケーションでのセキュリティと使いやすさのニーズを満たすためのパフォーマンス要件を指定するためのガイダンス |
| [22] | ISO/IEC 27032, 情報技術 — セキュリティ技術 — サイバーセキュリティのガイドライン |
| [23] | ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙 |
| [24] | ISO/IEC 1188, 情報技術 — トラステッド プラットフォーム モジュール ライブラリ |
| [25] | FIDO,, https://fidoalliance.org/ |
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
attack presentation classification error rate
APCER
proportion of attack presentations using the same presentation attack instrument (PAI) species incorrectly classified as bona fide presentations in a specific scenario
Note 1 to entry: PAI means the biometric characteristic or object used in a presentation attack (3.17) .
[SOURCE:ISO/IEC 30107-3:2017, 3.2.1, modified — Note 1 to entry has been added.]
3.2
artefact
artificial object or representation presenting a copy of biometric characteristics or synthetic biometric patterns
[SOURCE:ISO/IEC 30107-1:2016, 3.1]
3.3
authentication
provision of assurance in the identity of an entity
[SOURCE:ISO/IEC 29115:2013, 3.2]
3.4
authentication agent
component in a mobile device that performs authentication-related functions on the mobile device and interacts with the local biometric components
3.5
authentication credential
credential containing information that can be used to help authenticate the entity
[SOURCE:ISO/IEC 20009-4:2017, 3.3]
3.6
authentication service provider
entity that provides authentication services to a relying party (3.19)
3.7
biometric data
biometric sample or aggregation of biometric samples at any stage of processing
EXAMPLE:
Biometric reference, biometric probe, biometric feature or biometric property.
Note 1 to entry: Biometric data need not be attributable to a specific individual, e.g. Universal Background Models.
[SOURCE:ISO/IEC 2382-37:2022, 37.03.06]
3.8
biometric information
information conveyed or represented by biometric data (3.7)
Note 1 to entry: Biometric data include for instance data derived or transformed from biometric data which are handled in connection with biometric data within a biometric system.
[SOURCE:ISO/IEC 24745:2022, 3.9]
3.9
biometric probe
biometric sample (3.12) or biometric feature set input to an algorithm for comparison to a biometric reference(s)
[SOURCE:ISO/IEC 2382-37:2022, 37.03.14, modified — Notes to entry have been removed.]
3.10
biometric processing unit
BPU
trusted implementation of a collection of biometric subprocesses implemented in a single physical unit
Note 1 to entry: A BPU commonly comprises biometric subprocesses that are sequential in the process flow for a biometric verification.
Note 2 to entry: Application/service requirements typically require BPU subprocesses to meet a uniform level of security assurance. In ACBio, assurance is achieved through a BPU evaluation process that is authenticated by means of an X.509 certificate embedded in an ACBio instance.
[SOURCE:ISO/IEC 24761:2019, 3.3]
3.11
biometrics
automated recognition of individuals based on their biological and behavioural characteristics
[SOURCE:ISO/IEC 2382-37:2022, 37.01.03, modified — Notes to entry have been removed.]
3.12
biometric sample
analogue or digital representation of biometric characteristics prior to biometric feature extraction
EXAMPLE:
A record containing the image of a finger is a biometric sample.
[SOURCE:ISO/IEC 2382-37:2022, 37.03.21]
3.13
credential
representation of an identity for use in authentication (3.3)
Note 1 to entry: As described in ISO/IEC 24760-1:2019, 5.4, customary embodiments of a credential are very diverse. To accommodate this wide range, the definition adopted in this document is very generic.
Note 2 to entry: A credential is typically made to facilitate data authentication of the identity information pertaining to the identity it represents. Data authentication is typically used in authorization.
Note 3 to entry: The identity information represented by a credential can, for example, be printed on human-readable media, or stored within a physical token. Typically, such information can be presented in a manner designed to reinforce its perceived validity.
Note 4 to entry: A credential can be a username, username with a password, a PIN, a smartcard, a token, a fingerprint, a passport, etc.
[SOURCE:ISO/IEC 24760-1:2019, 3.3.5]
3.14
device binding
association of a specific device with the data (credential) and the holder (individual getting the credential)
Note 1 to entry: The binding process typically provides assurance to a known level.
3.15
information asset
knowledge or data that has value to the individual or organization
[SOURCE:ISO/IEC 27032:2012, 4.27, modified – Note 1 to entry has been removed]
3.16
mobile device
small, compact, handheld, lightweight, standalone computing device, typically having a display screen with digitizer input and/or a miniature keyboard
Note 1 to entry: Examples include laptops, tablet PCs, wearable information and communication technology (ICT) devices, and smartphones.
[SOURCE:ISO/IEC 30107-4:2020, 3.1]
3.17
presentation attack
presentation to the biometric data capture subsystem with the goal of interfering with the operation of the biometric system
Note 1 to entry: Presentation attack can be implemented through a number of methods, e.g. artefact, mutilations, replay, etc.
Note 2 to entry: Presentation attacks can have a number of goals, e.g. impersonation or not being recognized.
Note 3 to entry: It is possible that biometric systems are unable to differentiate between biometric presentation attacks with the goal of interfering with the systems operation and non-conformant presentations.
[SOURCE:ISO/IEC 30107-1:2016, 3.5, modified —"may" has been changed to"can" and"it is possible" in Notes 2 and 3 to entry.]
3.18
presentation attack detection
PAD
automated determination of a presentation attack (3.17)
Note 1 to entry: PAD cannot infer the subject’s intent. In fact it may be impossible to derive that difference from the data capture process or acquired sample.
[SOURCE:ISO/IEC 30107-1:2016, 3.6]
3.19
relying party
RP
entity that relies on the verification of identity information for a particular entity
Note 1 to entry: A relying party is exposed to risk caused by incorrect identity information. Typically it has a trust relationship with one or more identity information authorities.
Note 2 to entry: In the context of this document, an RP is implemented as a server plus an agent. An RP agent is a software component located in the mobile device which initiates authentication requests to an RP server, displays the returned information, and interacts with the identity information provider (IIP) agent to fulfil the authentication process.
EXAMPLE:
An RP agent can be a mobile browser.
[SOURCE:ISO/IEC 24760-1:2019, 3.3.7, modified – Note 2 to entry and EXAMPLE added]
3.20
renewable biometric reference
RBR
renewable identifier that represents an individual or data subject within a domain by means of a protected binary identity (re)constructed from the captured biometric sample, and fulfilling irreversibility requirements
Note 1 to entry: A renewable biometric reference fulfilling irreversibility requirement provides additional security property.
Note 2 to entry: An example of a renewable biometric reference is a pseudonymous identifier and additional data elements required for biometric verification or identification such as auxiliary data.
[SOURCE:ISO/IEC 24745:2022, 3.34]
3.21
threat
potential cause of an unwanted incident, which can result in harm to a system or organization
[SOURCE:ISO/IEC 27000:2018, 3.74]
3.22
trusted environment
secure area that guarantees the confidentiality and integrity of code and data loaded inside
Note 1 to entry: Examples include trusted execution environment (TEE), SE secure element (SE), and trusted platform module (TPM). See ISO 12812-1 and the ISO/IEC 11889 series for further details.
Bibliography
| [1] | ISO/IEC/TR 30125, Information technology — Biometrics used with mobile devices |
| [2] | ISO/IEC 29115:2013, Information technology — Security techniques — Entity authentication assurance framework |
| [3] | ISO/IEC 20009-4, Information technology — Security techniques — Anonymous entity authentication — 4: Mechanisms based on weak secrets |
| [4] | ISO/IEC 2382-37:2022, Information technology — Vocabulary — 37: Biometrics |
| [5] | ISO 12812-1, Core banking — Mobile financial services — 1: General framework |
| [6] | ISO/IEC 19792, Information technology — Security techniques — Security evaluation of biometrics |
| [7] | ISO/IEC 19989, Information security — Criteria and methodology for security evaluation of biometric systems |
| [8] | ISO/IEC 24760-1, IT Security and Privacy — A framework for identity management — 1: Terminology and concepts |
| [9] | ISO/IEC 27034-3, Information technology — Application security — 3: Application security management process |
| [10] | ISO/IEC 30107 (all parts), Information technology — Biometric presentation attack detection |
| [11] | ISO/IEC 24761, Information technology — Security techniques — Authentication context for biometrics |
| [12] | ISO/IEC 29100:2011, Information technology — Security techniques — Privacy framework |
| [13] | ISO/IEC 29134:2017, Information technology — Security techniques — Guidelines for privacy impact assessment |
| [14] | ISO/IEC 29184:2020, Information technology — Online privacy notices and consent |
| [15] | ISO/IEC 29151:2017, Information technology — Security techniques — Code of practice for personally identifiable information protection |
| [16] | ISO/IEC 27007:2020, Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing |
| [17] | ISO/IEC 27701:2019, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines |
| [18] | ISO/IEC 19795-1:2021, Information technology — Biometric performance testing and reporting — 1: Principles and framework |
| [19] | ISO/IEC 15408-3, Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — 3: Security assurance components |
| [20] | ISO/IEC 18031, Information technology — Security techniques — Random bit generation |
| [21] | ISO/IEC/TR 29156, Information technology — Guidance for specifying performance requirements to meet security and usability needs in applications using biometrics |
| [22] | ISO/IEC 27032, Information technology — Security techniques — Guidelines for cybersecurity |
| [23] | ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| [24] | ISO/IEC 11889 (all parts), Information technology — Trusted platform module library |
| [25] | FIDO,, https://fidoalliance.org/ |