モバイル生体認証として『世界初』の コモンクライテリア認証取得

ユニバーサルロボット株式会社(本社：東京都中央区、代表取締役：岩田 英三郎、以下「ユニバーサルロボット」)は、当社のスマートフォン・タブレット用のAndroid OS版 掌静脈認証ソフトウェアにおいて、モバイルの生体認証製品としては世界で初めてCC(コモンクライテリア)認証を取得いたしました。

CCRA

スマートフォンに指紋認証や顔認証や虹彩認証が組みこまれ、生体認証が身近なものになってきました。一方、これら生体認証製品の他人誤受入率(FAR)、本人誤拒否率(FRR)、登録拒否率(FTE)などの性能については、その妥当性、信頼性、客観性が不十分であるとの指摘がありました。ユニバーサルロボットでは、『もっとも性能が高い生体認証製品ではなく、もっとも信頼性の高い生体認証製品』を目指し、これまでも公開で精度評価試験を行うなどしてまいりました。また、中立第三者によるIT製品のセキュリティ評価の仕組みであるCC(コモンクライテリア)評価・認証にも、いち早く取り組み、ここにモバイルの生体認証製品として世界で初めて認証を取得することになりました。今後、日本はもとより海外の生体認証製品でも、CC認証の取得を計画しているものが多くあります。

Android OS版 掌静脈認証ソフトウェアは、スマートフォンのカメラを利用して、掌の静脈と掌紋の形状を同時に抽出するハイブリッド認証を取り入れた、世界で唯一のテクノロジーです。専用の装置を必要としない手軽さに加え、CC認証を取得したことにより性能の信頼性を得られたことから、モバイルバンキングやモバイル決済という、特にフィンテック分野での利用の拡大を計画しています。その先駆けとして、モバイル決済分野でJCBと、モバイルバンキング分野でSBIトレードウィンテックと協業いたします。

■CC(コモンクライテリア)認証

CC(コモンクライテリア)評価・認証は、ITセキュリティ評価のための国際規格で、ITに関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを、独立した第三者によって評価・認証するものです。独立評価機関による厳正な評価を行うだけではなく、各国で唯一設置された認証機関(日本は独立行政法人 情報処理推進機構(以下、IPA))が、独立評価機関による評価が適切に実施されたかを確認の上、製品を認証します。

当社製品の生体認証のCC(コモンクライテリア)認証は、生体認証製品のために新たに日本で作成されたプロテクションプロファイルに基づいて、以下の内容を含み実施されました。

(1) 生体認証製品の性能評価国際標準であるISO/IEC19795に基づいて、当社が、性能評価試験を行い、生体認証の性能評価の主な指標である他人誤受入率(FAR)、本人誤拒否率(FRR)、登録拒否率(FTE)を算出する。

(2) 独立評価機関が、当社の性能評価試験が適切に行われているかを確認したうえで、さらに独立評価機関独自でISO/IEC19795に基づいた性能評価試験を行い、統計的な手法を用いて、当社が表示している性能が妥当であるかの評価を行い、合否を判定する。

(3) 第三者評価では、生体情報を模した偽造物を使って攻撃を行い、脆弱性がないことや偽造物の提示への耐性を評価し、合否を判定する。

なお、当社が実施した性能評価試験において、FRR実測値0.065％、FAR実測値0.000294％、FTEの実測値は0.129534％でした。ISO19795では各種性能は95％信頼区間の上限値を採用することになっていることから、それぞれの上限値は、FRRは0.192％、FARは0.000513％、FTEは0.38342％となりました。一方、独立評価機関の性能評価試験においては、登録失敗、本人拒否、他人受入のエラー件数が0件(0％)であったため、当社の性能値の妥当性が確認されました。よって、当社は公開する性能を、本人誤拒否率FRR0.2％、他人誤受入率FAR0.0006％、登録失敗率FTE0.4％としています。

なお、Android OS版 掌静脈認証ソフトウェアのST(Security Target、セキュリティターゲット)と呼ばれるセキュリティ要件定義書は、独立行政法人 情報処理推進機構のホームページ上の認証製品リストにて公開されます。

■CCRA(CC承認アレンジメント)

CCRAはCC評価・認証の相互承認に関する協定であり、CCRA加盟国でCC認証された製品は、他のCCRA加盟国においてもCC認証された製品として扱われます。当社のAndroid OS版 掌静脈認証ソフトウェアは、日本はもとより世界28か国で、CC認証製品として扱われます。

＜CC承認アレンジメント イメージ図＞

出典：IPAホームページ

■SBIトレードウィンテックと認証サービス提供に向け実証実験プロジェクトを開始

SBIホールディングス株式会社の子会社で、金融機関向けのシステム開発等を展開するSBIトレードウィンテック株式会社(本社：東京都新宿区、代表取締役執行役員社長：藤本 守)は、ユニバーサルロボットが開発したモバイル端末(スマートフォンやタブレット)のカメラを利用する掌静脈認証ソフトウェアを用いた手のひら静脈認証システムのASPサービス提供に向け、実証実験プロジェクトを2018年4月より開始します。

実証実験の結果を踏まえ、住信SBIネット銀行株式会社(本社：東京都港区、代表取締役社長：円山 法昭)をはじめ、金融機関へのサービス提供を検討しており、また、金融機関以外へも、さまざまなサービスに活用できるよう検討を進めて参ります。

■JCBと、生体認証基盤を用いたマルチサービスの実証実験

ユニバーサルロボットは、日本発唯一の国際カードブランド運営主体である株式会社ジェーシービー(本社：東京都港区、代表取締役兼執行役員社長：浜川 一郎)と、国立研究開発法人 産業技術総合研究所(理事長：中鉢 良治)との共同研究により、可視光手のひら静脈認証技術を用いたサーバー型マルチサービスの実証実験を実施しています。

■認証製品の概要

認証番号　　　　　　　　：C0589

認証年月日　　　　　　　：平成30年3月16日

TOEの名称　　　　　　　 ：Android OS版 掌静脈認証ソフトウェア

TOEのバージョン　　　　 ：Ver1.00.m01

TOEの種別　　　　　　　 ：バイオメトリクス照合製品

CCのバージョン　　　　　：3.1r4

適合する保証要件、PP適合：

EAL2及び追加の保証コンポーネントALC_FLR.1

バイオメトリック照合製品プロテクションプロファイル第1.2版(JISEC認証番号C0501)

■用語解説

【CC(コモンクライテリア)認証】

CC(Common Criteria、コモンクライテリア)は、“Common Criteria for Information Technology Security Evaluation”としてCCRAで作成され、ISO/IEC 15408 Evaluation criteria for IT securityとして国際標準化規格されました。IT製品が適切なセキュリティ機能を持っていること、セキュリティ機能が正しく実装されていることを保証する規格です。

実際の評価は、評価方法を定めたCEM(Common Evaluation Methodology、共通評価方法。ISO/IEC 18045として国際標準規格化)に基づいて、保証要件に応じて評価者の実施すべき評価内容を定めています。こうした枠組みによって、客観的で評価者に依存し難いセキュリティ評価を実現しています。

【Protection Profileとは】

PP(Protection Profile、プロテクションプロファイル)は、製品分野毎のセキュリティ要件定義書です。具体的な製品に対するセキュリティ要件定義書ではないので、個別の製品のセキュリティ要件定義書よりも抽象的な内容になっています。今回の評価・認証では、バイオメトリック照合製品プロテクションプロファイル第1.2版(JISEC認証番号C0501)が適用されました。

■会社概要

名称　　　： ユニバーサルロボット株式会社

本社所在地： 東京都中央区日本橋箱崎町20番5号 VORT箱崎5F

代表取締役： 岩田 英三郎

資本金　　： 199,750,000円

URL　　　 ： http://www.urobot.co.jp/