トラストサービスフォーラムinベルリン Day2 その3

最後のセッションです。

最初は、Dimitris Zacharopoulosさんの「CA/ブラウザフォーラム(CA/Browser Forum-Status and future activities)です。スライドはこちら

CA/ブラウザフォーラムというのは、規制団体ではなく、また、監督機関でもありません。むしろ、世界的な「標準機関」に近いものといえるでしょう。SSL/TLS証明書の提供/発行/ガバナンスについての相互のポリシ、実務をともに定めています

ブラウザは、トラストサービスプロバイダを「ルートプログラム」を通じて、そのssl/TLSトラストサービスを「監督」しています。
フォーラムは、ガバナンスの変更によって、フォーラムがサーバー証明書ワーキンググループとなりました。また、サブコミッティ、証明書発行者、証明書利用者へと名称の変更がありました。

また、他の話題としては、監査が、ETSIの標準とWebTrustの基準が、収斂しつつあります。

効果的な監督というのも重要な問題です。現在は、適合性評価機関となっています。が、誤った証明書は、適合性評価機関によって発見されるものではないのです。監督機関は、スキームをテストするにすぎないのです。
その意味で、関係当事者は、証明書「製品」によって十分に保護されているのか、トラストをおいているのか、という問題があるのです。
また、現状でのSSL/TLSが、十分なのか、監査報告書での不適合部分が小規模とされること、適格タイムスタンプは、RFC3161のタイムスタンプではないこと、などの問題があるとされています。

次は、Andreas Philippさんの「ハイブリッドPKI/IoTのソリューション」(Hybrid PKI: Solution for IoT)です。スライドは、こちら

IoTセキュリティの重要性は増しており、また、PKIは、IoTにおいても事実上の標準になっているとされます。
IoTは、多様性を有しており、フリーサイズの解決策は存在しないこと、そこで、PKIに注目することになります。同社の対応としては、世界的な配置、負荷のピーク、OTについてのPKIソリューションなどがあります。
工場での動作を考えてみましょう。
イメージのスライドは、こんな感じです(スライド14から)

クライアントのオンサイトでの処理があり、工場での処理もされ、それも認証局、登録局、サーバーのアプライアンスが発展することになります。工場ともなれば、誤作動の場合の安全性の問題は到底看過できません。
まさに、PKIも組み合わせたハイブリッドで、動かしてみましょうということになるのかと思います。

最後は、Andrea Valleさんの「アドビとクラウド署名コンソーシアム」(Adobe and the Cloud Signature Consortium)です。スライドは、こちら

クラウド署名コンソーシアムは、クラウド署名についての標準を構築しようというものです。

2016年に設立され、クラウドベースの電子信託サービスの促進、相互作用を容易にするために共通のアーキテクチャーとビルディングブロックを設計する、これらのやり取りを容易かつ相互運用可能にするためのプロトコルおよびAPIの技術仕様を作成、技術仕様をオープンスタンダードとして公開する、などのミッションを有しています。 (このようなプレスリリースもあります)
トラストサービスのための基準の開発のための貢献の相互交換を可能にするためにETSIとの協力協定を確立しており、具体的には、CSC API仕様は、ETSI TS 119 432「リモートデジタル署名作成のためのプロトコル」で参照されています。
また、CSC API V1仕様は、一般に公開されています。http://cloudsignatureconsortium.org/specifications

あとは、CSC技術仕様の簡単な説明、ロードマップ、アドビ署名がCSC の仕様に準拠していることなどの説明がありました。そのあと、実際のデモ、アドビ署名のロードマップについての説明もなされました。

トラストサービスフォーラムinベルリン Day2 その2 後半

第2セッションですが、一番興味深かったOlivier Delos ( Sealed)さんの「トラストリスト:何?-現在の状況、イニシアチブ、次のステップと課題」(Trusted Lists:
What’s up? Current situation & initiatives Next steps and challenges )です

eIDAS規則は、ピラミットをなしています。

この図は、適格トラストサービスに関して、EUトラストマークを頂点に、トラストマーク、監督体制、適格トラストサービスプロバイダ、適格トラストサービスに関する規定、それらを支えるベストプラクティス、標準がピラミッド構造をなしているのを物語っています。

トラストマークを直接にささえているのは、トラストリストです。

トラストリストは、適格トラストサービス(提供者)に対して、基本的な効果を有しています。
トラストリストの手続と様式は、共同体 実装決定(CID)2015/1505によって特定されています。この実装決定は、サービス指令によって、設立されたトラストリストとの継続性を確保し、適格事業者の法的確実性をたしかにするものです。また、適格電子署名・適格電子シールの有効性確認をすることで、クロスボーダーの認証を促進しようとするものです。

トラストリストは、加盟国が自動処理に適するようになさなければならない/適格事業者の情報を含まなければならない(強制的)、可読的な形で提供する/適格ではない事業者の情報を含むことができる(任意的)という双方の性格を有します。

上記実装決定(CID)2015/1505は、ETSIのTS 119 612 v2.1.1に基づいています。構成としては、トラストリストスキームおよび運営者、EC LOTL(トラストリストのリスト)へのリンク、適格事業者・適格事業のリストから成り立っています。

共同体トラストリストのリストは、加盟国のトラストリストの情報を含んだXMLのファイルであって署名/シールがされています。詳細な情報は、EUの公式がジャーナルで公表されています。ピボットリストのリストがあり、機械可読な証明の変更であって、その特別なインスタンスということになります。

また、EUトラストマークは、クリックすることによって、トラストリストをみる(Trusted List Browser)ことができます。
TLSO(Trusted List Scheme Operator)コミュニティがあります。そこでは、トラストリスト管理ツール、同ブラウサ、加盟国からの通知、サービスデスクなどが提供されています。

これをみることで、各国においてどのような適格トラストプロバイダーが、どう登録されているかがわかります。登録されている数をみてみると以下のようになります。

適格事業者数は、以下のとおり。

適格電子署名認証事業者

適格電子シール認証事業者

適格ウエブサイト認証事業者

事業者数

143

83

35

国数

27

22国

16国

増減事業者

-8

81

35

国数

-2

20

16

 

適格電子署名検証事業者

適格電子シール検証事業者

事業者数

9

9

国数

8

8

増減事業者

7

7

国数

6

6

 

適格タイムスタンプ事業者

適格電子配達内容証明事業者

事業者数

85

5

国数

21

4

増減事業者

63

3

国数

14

3

 なお、増減といっているのは、eIDAS実施6月後の時点での事業者数との相違の数です。

EUの範囲を越えて、相互認証をなすということが問題になります(eIDAS規則14条)。

この点では、法・監督・技術の三つの柱の観点から、マッピングを実現していかなければなりません。

ENISAでは、「監査の世界的承認」という文書を提供しています (という話ですが、見つかりませんでした)。
ETSIのSTF560(ESI 560 Standards for machine-processable signature policy formats and the global acceptance of European Trust Services)も参照する必要があります。
次のチャレンジとしては、意識と教育で、卓越を目指して、道を舗装していくことになります。

Dean Coclin ( Digicert)は、「SSLの産業傾向」です。スライドは、こちら

プレゼンは、いろいろいな交通標識の話で始まります。これに比較して、SSLのグリーンやグレイのサインは、わかりやすいでしょうか。

お札は、また、すかしがはいっています。EV証明書のセキュリティも同様です。

EV証明書は、偽造防止であり、適格ウエブサイト証明書は、EVに頼っています。アイデンティティが重要であれば、何が、EVを改善するのでしょうか。

また、ブラウザの設定によりhttpsへの移行が劇的な増加をみせています。(クロームだと78%以上、アンドロイドでも68%以上です) Chrome69からは、安全の文字がなくなっています。

アップルのsafariの表示も変わってきていますし、また、EVの市場も増加しています。

証明書のタイプでいうと、DV(ドメイン証明書)が94.3%、OV(企業証明書)が、5%、EVは、0.7%です。しかしながら、トラフィックだと状況が変わります。きわめて印象的です。

ちなみに3種については、こちらをどうぞ。

 

 

 

 

トラストサービスフォーラムinベルリン Day2 その2 前半

Day2の2コマ目のセッションです。

最初は、Michael Taborさんの「PSD2は、eIDAS適格証明書を金融サービスに導入する」(PSD2 introduces eIDAS qualified certificates to financial services)というプレゼンです。スライドは、こちら

決済サービス指令2は、このフォーラムのメモでも度々出てきています(Day1 その1、Day2 その1後半)。委任規則も、Day2のその1後半でふれました。

アカウント情報サービス(定義は、指令4条(16))が提供されると、本人は、一回の登録だけで、あとは、各金融機関に本人の情報が安全に提供されることになって、このように変わっていくということがポイントになります。まさに、eKYC(電子的「顧客確認」)が実現するのです。 (KYCについては、「フィンテックで進むか、 本人確認(KYC)のイノベーション」のリンクを張っておきます)

また、決済開始サービスプロバイダ(PISP)という概念が準備されています。この概念は、他の決済サービスプロバイダにおいて保有されている決済に関するサービスの利用者の求めに応じて、決済命令を開始するサービスを行うものです(同(15)。これが実現すると

のような図になっていきます。

決済サービス指令2のもとにおいては、技術標準119 495において、「電子署名基盤;部門要件;決済サービス指令(2015/2366 EU)における適格証明書プロファイルおよびタイムスタンプポリシ要件」が定められています。

この標準においては、5が、証明書プロファイル要件で、6が ポリシ要件になります。

附属文書Aが、ASN.1 宣言で、Bが、決済サービス指令2を満たす証明書とは、どういうものかということについての解説です。

これらの証明書については、決済開始サービスとアカウント情報サービスが、利用を義務づけられており、銀行におけるアカウントサービスにおいては、利用が強く推奨されています。

決済サービスプロバイダは、その本人性/インテグリティ確認のために、適格電子シールと適格ウエブサイト証明書を利用することになります。

委任規則34条は、各プロバイダの登録番号等の記載とその役割、監督機関の名称が証明書に記載されなければならないことを定めています。

Nick Pope ( Security & Standards Associates)「オープンバンキングにおける適格証明書において呈示された問題点」 ( Open Issues on Use of eIDAS Qualified Certificates in Open Banking)です。

スライドは、一般公開されていません。なので、要点のみをまとめることにします。

要は、適格証明書に関して、PSD2証明書プロバイダーとはどういうことか、証明書を信じることとは、どういうことか、責任とはどういうことか、などの問題が提起されているということだそうです。

とりあえずは、ホームページへのリンクを張っておきましょう。

 

トラストサービスフォーラムinベルリン Day2 その1 後半

次は、「PKIは、どのくらい使われるか(How much PKI is in:PSD2; eIDAS; GDPR)」というArno Fiedler( Nimbus)さんの話です。欧州の規範を利用してeIDASを実装するという趣旨での話です。スライドは、こちらです。

欧州は、現在、デジタル単一市場を目指しており、決済については、SEPA(単一決済エリア)が目指されていることになります。
ここで、特に、決済サービス指令2(PSD2)のための技術的標準をみることになります。
ちなみに、決済サービス指令2の 本文はこちら)で、についての簡単な説明についてはこちらです。

関連する規定としては、

第29条トレーサビリティ

決済サービス提供者は、決済サービスユーザー、他の決済サービスプロバイダー、および商人を含む他の企業の間で確立された通信セッションが、タイムスタンプなどに依拠するように、確かにしなければならない

第34条 証明書

識別のために、(略) 支払いサービス提供者は、規則(EU)No 910/2014の第3条(30)に記載されているような電子シールのための、または第3条(39)第35条に記載されているようなウェブサイトの認証のための認定証明書に依拠しなければならない。

通信セッションのセキュリティ

1 ./ インターネットによるデータ交換に際して、データの機密性および完全性を保護するために、強力で広く認識されている暗号化技術を使用して、各通信セッションを通して通信相手間で安全な暗号化が適用される

とされています。
また、GDPRにおいては、32条の仮名化、32条の取扱の安全措置が、関連してることになります。
eIDAS要件では、5条(データ取扱および保護)、13条(責任および証明の責任)、15条(ユニバーサルアクセス)、16条(罰則)、19条(セキュリティ要件)がかかわってきます。
最後に、欧州のeIDとがブルーワンダーになるようにということで、プレゼンは、終了です。

次は、Andrea Röck(Universign, ETSI STF 524 expert)さんの「ETSIの電子署名と署名検証サービス」(ETSI ESI and Signature Validation Services)というプレゼンです。スライドは、こちら
基本的な内容は、(1)eIDASにおける標準のアップデート(2)署名検証サービスです。
(1)eIDASにおける標準のアップデート
最初にフレームワークは、こちらです。

アップデートされたものとしては、CA Policy Requirements: EN 319 411-1/2、決済サービス指令2のもとでの適格証明書のアップデート、リモート署名に関して、信頼しうるシステムのためのCEN(欧州標準化委員会)標準(EN規格については、こちらhttps://rnavi.ndl.go.jp/research_guide/entry/theme-honbun-400383.php )、生成のプロトコルとコンポーネント要件、内容配達証明、長期保存、トラストリスト、監査要件の補充、機械による取扱の様式があります。具体的なものは、スライドにあげられています。また、最後に、欧州のトラストサービスについての国際的承認の話がでています。

個人的には、「決済サービス指令2(PSD2) のもとでの適格証明書のアップデート」と「欧州のトラストサービスについての国際的承認」が気になるところです。

PSD2については、委任規則が本人確認等についての細かい点を定めています。

具体的には、「2015/2366(EU)指令における強力な利用者識別および通信の一般かつ安全なオープンな標準に関する委員会委任規則(Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication )」になります。この委任規則の本文は、こちらでみれます。

また、欧州のトラストサービスについての国際的承認」においては、「Study report on Global Acceptance of EU Trust Services」(‘DTR/ESI-000123)があげられています。スケジュールをみることができますが、まだ、早期案の作成中のようです。また、ワークショップがふれられていて、ターゲットとして日本が最初にあがっているのは、興味深いところです。

(2)署名検証
「ETSI STF 524」(特別タスクフォース 524)ですが、これは、2016年に始まり、三つのドキュメントがでています。
TS 119 102-2: Validation Report(https://www.etsi.org/standards-search#search=TS119102-2
TS 119 441: Policy Requirements for TSPs Providing Signature Validation Services(https://www.etsi.org/deliver/etsi_ts/119400_119499/119441/01.01.01_60/ts_119441v010101p.pdf
TS 119 442: Protocol for Signature Validation Services (https://portal.etsi.org/webapp/WorkProgram/Report_WorkItem.asp?WKI_ID=47246
あと、関連のドキュメントもあります。

Matthias Wiedenhorst (TÜVIT)は、「監査報告の苦闘(The struggleofauditreporting)」です。スライドは、こちら

eIDAS3条(18)による適合性評価機構が、国家評価機構としてなす組織は、実質的に唯一であるということになる。

評価の一般的なマトリックスは、TR 119 000, V1.2.1により、 ETSI EN 319シリーズが、トラストサービスプロバイダの監査についてのひとつの欧州の標準ということになる。
しかしながら、監査報告の枠組みについては、いろいろな枠組みが存在することになります。

まずは、ENISAのトラストサービスの適合性評価ガイドライン(Conformity assessment of Trust Service Providers – Technical guidelines on trust services)。(https://www.enisa.europa.eu/publications/tsp-conformity-assessment

ETSI TS 119 403-2 V1.1.1 (2018-07)(https://www.etsi.org/deliver/etsi_ts/119400_119499/11940302/01.01.01_60/ts_11940302v010101p.pdf
ETSI TS 119 403-3(https://docbox.etsi.org/esi/Open/Latest_Drafts/ESI-0019403-3v007-for-public.pdf

結局、ひとつの様式にするのは、現実的ではないとして、誰が、問題点を解決するのであろうかという問いがなされます。

適合性評価機関委員会(ACAB-c)か、FESA(トラストサービス提供者への監督機関フォーラム)か、または、EUか、ということになります。

トラストサービスフォーラムinベルリン Day2 その1前半

CA Day – Wednesday, 24 October 2018

Kim Nguyenさんの簡単なWelcomeのあと、Sławomir Górniak (ENISA)さんの「サイバーセキュリティパッケージと新しいENISAの役割」(The Cybersecurity Package and the new role of ENISA)の講演です。スライドはこちらです。

ENISAは、サイバーセキュリティ法のもとで、サイバーセキュリティ庁として改組されることになり、その説明になります。
個人的には、2010年に調査の関係でクレタ島を訪問したのが記憶にのこっています。

ENISAは、欧州共同体の能力向上、政策立案、専門的分析等をその行動としています。
2017年のユンカー大統領が、サイバーセキュリティ庁としてサイバー攻撃に対抗するということをいったのが、その最初になります。映像は、こちらです。その際のプレスリリースは、こちら

Cyber Security Package 2018は、Day1でも簡単にでてきました。サイバーセキュリティ法関係のドキュメント関係は、こちらです。
サイバーセキュリティ法提案、サイバーセキュリティ戦略、プループリント、「NISの最大利用」コミュニケを考えることができます。

サイバーセキュリティ法(「ENISA(サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」案)は、こちらです。)

2018年12月11日に、議会と理事会、委員会は、政治的に合意にいたっています(https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_en)。

同法は、6つの目的をもっています。具体的には、
1 EUおよび加盟国レベルでの能力と備えの向上
2 利害関係者の協力と調整を改善する
3 加盟国の行動を補完するためのEUレベルの能力の向上
4 EUにおけるサイバーセキュリティ意識の促進
5 サイバーセキュリティ保証の透明性の向上
6 認証スキームの細分化を避ける
になります。

この提案は、二つのパートからなりたっています。タイトル2は、ENISA-「EUサイバーセキュリティ庁」(3条から42条)で、一方、タイトル3は、サイバーセキュリティ認証枠組み(43条以下)です。より、強制的な政策が必要であることから、適切な資源があって、永続的な立場を与えるということで、ENISAの役割を強化する必要があったわけです。
より強靱なENISAは、法律と政策の任務、能力構築、運営協力、市場と認証、意識向上、研究とイノベーション、国際協力を課題とするわけです。

前者は、ENISAを強化し、補強するもので、特に、政策策定と実施の役割、 業務協力の役割 – ブループリント、 研究資金プログラムへの参加の点について変更が加えられています。

後者は、「EUレベルのサイバーセキュリティ認証の枠組み」であって、 候補スキームの作成におけるENISAの役割、 「欧州サイバーセキュリティ認証グループ」のためにENISAが提供する事務局的支援が述べられています。

後者についてみていきましょう。認証については、

「「特定の要件を満たしていることの証明と公正な第三者認証の提供」もしくは、「「定義された一連の基準規格に対する独立した認定機関による製品、サービス、およびプロセスの正式な評価、および適合性を示す証明書の発行」という定義がなされています。もともとは、コモンクライテリアによってさだめられていたところです。各国における相互承認は、SOG-IS(情報システムセキュリティ上級グループ-)による相互承認協定によっています(https://www.sogis.org/)。

EU戦略の全体像との関係については、Day1のとおりです。

この枠組みの特徴は、国家ICTセキュリティ認証イニシアチブによる断片化を回避、相互承認を促進する、保証レベル(基本、実質、高)を定義する、手順を簡素化し、IT製品とサービスの展開にかかる時間とコストを削減する、ヨーロッパの製品とサービスの競争力と品質を向上させる、購入するICT製品やサービスに対するユーザーの自信を高めるの特徴を有しています。

提案された枠組みにおける重要な要素は、範囲(過程、製品、サービス)、参照される標準、適合性評価機関のためのサイバーセキュリティ要件、申し込み者によって適合性評価機関に提供される情報、マーク・ラベル利用/証明書の条件、適合性に関するモニタリングルール、脆弱性報告のルール、証明書の内容(機関、開示、相互承認)です。

トラストサービスフォーラムinベルリン Day1 その4

15時30分から16時45分までは、「トラストサービスのあらたな機会-リモート・サイニング」というパネルです。登壇者は、Evgenia Nikolouzou (NISA)、Kim Nguyen(D-TRUST)、Adreas Kuehne (OASIS, trustable)Andrea Röck (Universign, ETSI STF 539 expert)Jon Ølnes (Signicat) です

最初は、Andreaさん(ETSI)です。スライドは、こちらです。Universign についての紹介が簡単になされました。

ETSI 特別タスクフォース(STF) 539は、3つのドキュメントを明らかにしています。TSP119 -431-1は、「リモート(適格)署名製造機器を運営するトラストサービス提供者のコンポーネントのポリシおよびセキュリティ要件」です。これは、コンポーネントについてのものになります。TSP119 -431-2は、「先進署名製造機器をサポートするトラストサービス提供者のコンポーネントのポリシおよびセキュリティ要件」です。TSP119 -432は、「リモートデジタル署名作成のためのプロトコル」です。

問題点としては、電子署名・電子シールの状況を明確化するということ、と電子署名生成装置の認証の限界点ということです。

Adreas(OASIS)さんは、このスライドです。

OASISの活動をアップデートになります。DSS-Xは、デジタル署名をウエブサービスで進めるためのインターフェースを提供することにしており、その新たなバージョン2を公表したことになります(2年前)。DSS-Xのプロファイルは、ローカル署名の委員会のドラフトの段階ですが、鍵の設置については、種々のバリェーションがあります。

将来の姿については、こちらです。

 

次はJonさんです。スライドは、こちら。Signicatという会社のご説明からです。

ポイントとなるのは、このスライドでしょうか。

利用者としては、署名の必要性が生じたときに、フロントエンドでの署名、IDの提供をうけること、場合によっては、タイムスタンプを付すこと、その他の方法を用いることなどが、選べることができるとされています。

また、連携電子署名の考え方が紹介されています。Signicatという会社はIDプロバイダの証明に基づいて署名をなして、場合によっては、他のサービスとも連携します。

その一方で、適格電子署名が回答なのか、きわめて高価であって、ノルディック諸国においては、適格電子署名が求められていないということもあります。

そのあと、フロアでの質問に移行しました。

このセッションでは、市場でのニーズがあるのか、という議論がなされたのは、興味深かったです。回答では、リモート署名のみがニーズがあるのではないか、という回答がなされていました。一方では、ドイツでは、適格電子署名は、成功してきました、という回答もなされており、いろいろいな状況のようです。また、適格かどうか、違うのか、というのについては、いろいろいな状況があって、それは、国にも状況にもよるだろうという回答もなされました。

トラストサービスフォーラムinベルリン Day1 その3

13時45分から15時までは、「eIDAS適合監査の国際的認証」というパネルです。登壇者は、Arno Fiedler (Nimbus)、Eric Gonnot(LSTI)、Inigo Barreira (360)、Marcin Szulga (Asseco Data Systems)、Olivier Delos( Sealed)です。

自己紹介のあとは、最初は、Olivier Delos ( Sealed)さんのプレゼンです。スライドは、こちら。このスライドは、適格タイムスタンプのモデルを例にとって解説したものです。

765/2008の規則(製品販売に関する評価機構の要件および市場監視についての規則)によって認定された国内認定機構は、全部で10あり、任意的な組織となります。

eIDASの認定のスキームがあって、eIDASの認定機構があり、ISO/IEC17065とEN 31 9403とeIDAS要件からなりたっています。

ここで、欧州認定機関協力機関は、これを促進しています(促進限定となる)。eIDASの適合性評価機関は、30ほどあり、すべてが、ISO17065のもと、95%が、EN3190403のもと、評価をなすものとされています。トラストリストは、欧州委員会によって提供されていますが、これによって情報が提供されることになります。この仕組みを促進することによって国際的なレベルで承認・採用されることになっていきます。国際的にも促進されることになります。認証スキームをより周知されることになって、
また、ガバナンスがなされることになります。欧州委員会は、サイバーセキュリティ法に適合させた2020年改訂版を考えており、より、アクティブな役割をはたすことになります。
ひとつの認証を得れば、どこでも活躍できるワンストップショッピングが準備されています。2枚目のスライドでいくと、ウエブの信頼分野があり、また、ETSIの標準の体系があることになります。

次は、Szulgaさんの「eIDASトラストサービスと監査の国際的承認」の説明です。スライドは、こちら
法的なドライバです。ビジネス的な考え方からいえば、適合の問題は、実際のビジネスから始まっていきます。トラストサービスが認知されば、消費者が、これを信頼して、利用するということなります。このような国際的な利用が広がっていくとかんがえているわけです。 この例としては、アゼルバイジャンのデジタル貿易ハブと中国のEUにおける投資があります。

若干の問題点をあげておくと、プロバイダが、本人の実在性を確認するのにあたり、物理的に面識をもつのと同等の信頼性あると国内法によって確認された識別手法によって確認することになる(規則24条1項(d))が、これを国際的な場面でどのように考えるべきか、という問題があります。あと、インシデント報告の実務も問題になります。

次は、Inigoさんの360ブラウザについての説明になります。スライドは、こちら。二つのブラウザがあって、ひとつは、セキュリティブラウザです。360ブラウザは、ルートストア(トラストリスト)を実行し、管理します。ポリシと手続は、CA/ブラウザ・フォーラムで述べられていることにしたがった報告書/認証書によって認められています。問題としては、実際には、いろいろなツールで問題があり、また、それらが反映されないということもあります

ETSIの技術標準は、認められていますが、ルートストアとしては、取り込まれていません。より、堅牢なエコシステムが必要だといえます。中国で、どのように扱うかは、議論中であるといことがいえます。

Ericさんの発表スライドは、こちらです。 所属しているLSTIは、適合性評価機関(ACAB)となります。CABフォーラム、ETSI、ENISAとの関係についての説明がなされました。

あとは、フロアとの質問でした。

 

 

 

 

 

[1] https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:218:0030:0047:en:PDF

トラストサービスの調査ワークショップを開催します。

株式会社ITリサーチ・アートは、平成31年2月7日 午後1時30分より「トラストサービスの調査ワークショップ 2019」をTKP渋谷カンファレンスセンターにて開催いたします。

このワークショップは、平成30年度 総務省受託調査「トラストサービスに関する調査の請負」の調査の一環としてなされるもので、トラストサービスに対する法的対応等の国際的比較の一助として開催されます。

詳細については、運営についての担当であるノーサレンダー株式会社のホームページをごらんください。

 

 

トラストサービスフォーラムinベルリン Day1 その2

トラストサービスフォーラムinベルリン Day1 の2は、11時45分から13時までの「「認証のための提案された規制枠組におけるトラストサービス」というパネルです。

最初は、簡単な自己紹介がなされました。

そのあと、最初は、モデレーターのSlowmir GorniakさんによるCyber Security Package 2018 の解説です。サイバーセキュリティ戦略、サイバーセキュリティインシデント報告、NISガイドライン、サイバーセキュリティ法提案を考えることができます。
サイバーセキュリティ法提案のなかで、ENISAは、欧州のサイバーセキュリティを担当する永続の機関になるとともに、第2のパートにおいては、認証過程に貢献することになります。このプロセスは、任意的に、ICTデバイスやサービスなどについての認定を統一しようというもので、考え方としてはアンブレラであって、セクター間のものです。
この点については、Day2で詳しくみていくことにします。(名称は、「ENISA(サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」案

参加者から、認証やデバイスについて、考えを述べることになりました。

Herbertさんからは、リモート署名が、普及しつつある場になっているということにふれました。署名指令がマキシマムの標準であったものにくらべると、eIDASは、最低限の標準になっているという点が注目すべきであるといえます。

Stefanoさんからは、電子署名指令からの流れやたくさんの議論があったことが議論されました。オランダの市場が立ち上がりました。トラストサービスプロバイダもある。現在では、統一指令があり、認証商品がある、それに、eIDAS規則がある、欧州の統一されたものがある、チャレンジである。サイバーセキュリティ法については、重要なものであると考えています、ということでした。

Boryannさんからは、ドイツの電子署名法にもとづいての認証のリリースがあって、それに従事していたことが話されました。

Delosさんからは、ISO17065の仕組みに則ったeIDASの仕組みの説明がなされました。スライドは、こちらです。

eIDASの認証認定スキームは、欧州認定協力(EA)が、765/2008にもとづいて、ISO/IEC 17065、EN319 403、とeIDAS要件にもとづいてなされます。具体的には、eIDASの適合性認定機関が(Conformity Accreditation Body)、適合性評価機関によるeIDAS認証スキームによって、適格サービスプロバイダやそのサービスが提供されることになります。それが、監督機関に通知されて、トラストリストに掲載されることになるのです。
ここで、一つの問題は、適格署名生成機器(QSCD,Qualified Signature Creation Devices)です。適格トラストサービス提供者が、そのなかで、適格署名を生成するということは、一つの論点になっています。現在の者は、スマートカードのようなデバイスに適合したものになっています。新しいものは、適格トラストサービス提供者が、その手元で作成する場合を考えなければなりません。
次は、Boryannさんは、QSCDの認証について、リスト化されているようになっているという話がなされました。

そのあとは、Q&Aのセッションになりました。QSCDのスキームは、十分であるのか、とか、の質問がなされました。具体的なやりとりは、省略します。

トラストサービスフォーラムinベルリン Day1 その1

ベルリンでのトラストサービスフォーラムの出張メモです。

トラストサービスフォーラムは、ENISAが、D-TRUSTと共同で開催している会議になり、今年が、4回目になります。10月23、24日とベルリンで開催されました。具体的な紹介は、こちらになります。

出席者は、120-30名という感じでしょうか。

スケジュールとプレゼンテーションの各ファイルは、こちらからダウンロードできます。

では、早速、午前中の前半のセッション(1000-1115)をみていきましょう。

1 歓迎の言葉(Anders Gjøen)

最初の導入は、Anders Gjøenさんです。スライドは、こちらです。
私たちは、デジタル社会におけるトラストがいたるところで、役に立っているのをみることができます。

EIDAS規則を簡単に見るとすると、二つの章が異なった規則と要件を述べているということになります。2章は、eID手段の相互認証であり、3章は、電子トラストサービスです。さらに9章では、電子ドキュメントについて述べられています。(スライド3頁目)
2018年には、電子署名も進歩しています。トラストリストを一覧でみることができ、サクセスストーリーにもなりました。接続ツールの準備や認証のテストケースが準備されています。また、協力ネットワークにおける意見が準備されています。協力がなされているエリアとしては、専門家グループ、ETSI、ENISA、産業界、国連、第三国などがあります。

eIDASの果たしている役割は、マネーロンダリング指令(AML5)、PSD2指令、越境における一回限り原則、デジタルにける顧客知しゅうの原則、会社法、虚偽情報対応、GDPR対応などがあります。(16頁目)

加盟国における大規模なパイロットプロジクト(PEPPOLやSTORK)があって、それらが、ボトムアップで、個々のサービスに提供されるのに対して、eIDAS規則は、上から法として枠組を与えています。

CEF(Connecting Europe Facility)は、eIDと電子署名において、種々の提案をなそうとしています。
次は、何になるのでしょうか。グローバリゼーション、スムーズな経験への需要が増加しており、その一方で、個人情報の利用についての懸念があります。 デジタルアイデンティティの市場は、混雑し、大変化しています。公的部門と民間の依存は、相互に高くなっており、サイバーセキュリティのリスクが増加するとともに、新規技術は、勃興しています。これらが、eIDやトラストサービスの進化をもたらす要因といえるでしょう。
EUは、未来への投資をなしています。

2 eIDAS規則-曲がり角を曲がって(Andreas Mitrakas)

このスライドは、こちらです。

EU戦略の全体像があります(同スライド2頁目から)。

中心にデジタル単一市場、サイバーセキュリティ戦略を起き、それをNIS指令、GDPR、eプライバシー規則提案、サイバーレジリアンス・競争的・イノベーテヤブなサイバーセキュリティ育成、eIDAS規則が取り囲んでいるわけです。
ENISAは、この戦略のなかで、重大な役割を示しています。その図解をみてみましょう(スライド3頁目)

この図でわかるように研究、トラスト提供事業者のためのガイドライン、事件報告、トラストサービスフィ―ラムの柱をそれぞれささえているのです。
研究には、適格ウエブサイト認証証明書、標準のためのマッピングがあります。上記トラスト提供事業者のためのガイドラインのガイドラインには、セキュリティ枠組、トラストサービスプロバイダのためのガイドライン、監査枠組、開始・監督・終了のガイド、頼れるバートナーのガイドなどがあります。また、インシデント報告については、19条専門家委員会、CIRAS-T報告ツールがあります。
eIDASの成功ストリーとしては、モバイルコネクス、ドイツの保険ドットコムなどがあります。
EUのサイバーセキュリティ認証枠組の基本的な要素をみることができます。

スキームの範囲

プロセス、製品・サービスのタイプ・カテゴリを含む

評価の過程において標準への参照を行う CAB(認証認定団体)のサイバーセキュリティ要件の特定

特定の評価クライテリア及び方法の利用

申請者のCABへの情報提供
マークやラベルの利用条件

認証証の維持および延長の条件

認定証明書/EU適合宣言のモニタリング・適合の規則 脆弱性報告のルール

CABにおける記録維持

同種のエリアにおける国家・国際スキームの特定

EU適合宣言の内容

有効期間

開示原則

相互認証

また、以下のような実施のスキームを考えることができます。

3  2017年トラストサービスセキュリティインシデント分析(Evgenia Nikolouzou)

このスライドは、こちらになります。

最初に、リスクアセスメント、セキュリティ手法、インシデンドレスポンスのトライアングルを考えることができます。


これは、各国において監督機関から監督されており、テレコム枠組指令13条、eIDAS規則19条、NIS指令14条および16条でふれられています。
時系列的にも、2011年5月テレコム・セキュリティ侵犯報告、2016年7月eIDASトラストサービスセキュリティ侵害報告、2018年5月NIS指令侵犯報告開始となっています。また、規則40条に基づく電気通信規範が準備されています。

セキュリティインシデント報告は、サービス提供事業者や監督機関にとっての学習のツールであるといえます。eIDASは、セキュリティ侵害について強制的に監督機関に通知する仕組みをとっています。監督機関は、越境のインパクトがある場合には、これをENISAに伝えることになっており、19条にもとづく報告書を作成しています。
各国の監督機関と加盟国の監督機関、委員会、ENISAの関係の図は、以下のようになります。

 

ENISAは、eIDAS規則19条の枠組のガイドラインを公表しています(Article 19 Incident reporting) 。報告の閾値を定めるのは、困難なチャレンジであり、二つのアプローチ(シナリオによる場合/インパクトのある資産による場合)が利用されています。

2017年版においては、13の事件が紹介されています。
43パーセントが、電子署名・電子シールの作成に影響をあたえたものになります。根本原因としては、システムミス、第三者のミスが多いです。およそ半分の事案が国境を越えるインパクトがあるものである。

結論としては、インシデント報告のメカニズムは、実働しており、その要件は、成熟しつつあります。脅威と事件の十分な情報の交換に貢献しており、国境を越えた協力と事件情報の共有がきわめて重要である。ということがいえます。

4 Enisaの活動のアップデート(Goriak)

このスライドは、こちらです。

ENISAは、種々のガイドラインを公表しています。

2017年12月には、適格サービス事業者の標準に基づいた推奨事項、トラストサーヒズ事業者の統合評価、トラスストサービス事業者のセキュリティ枠組、トラストサービス規定の開始/監督/終了のガイドラインを発表しています(https://www.enisa.europa.eu/topics/trust-services/technical-guidance-on-qualified-trust-services)。

また、2018年 には、eIDAS/トラストサービスの実装と理解の概観 がそれぞれ、公表されています(https://www.enisa.europa.eu/publications/eidas-overview-on-the-implementation-and-uptake-of-trust-services)。

2018年の活動プログラムとしては、トラストサービスの実装と理解の概観、新たな標準の評価、ROCA脆弱性 、eIDASの監査の研究、eIDAS/NIST/Mobile Connect/その他との保証レベルのマッピングなどがあります。

また、新しい標準の評価として、CID(EU)2016/650があり、新しい標準自体としては、EN419 221-5(TSPの暗号モジュールの保護プロファイル)、CEN EN 419 241-2(サーバ署名における信頼しうるシステム)があります(スライド4頁)。
eIDAS監査を世界的に、受容させるという目標がある。このために、eIDAS 一致評価報告とよびそれに関連する要件をうかがう推奨事項を提案するのが目的である。特に、QWAC (適格ウエブサイト認証証明書)の監査の受容を促進することである(スライド5頁)。

ちなみに上でふれたROCA脆弱性(Return of the Coppersmith Attackの脆弱性)ですが、infineonのチップにおいて、秘密鍵を公開鍵から生成できるというものです。エストニアのeIDカードにも存在したものであって、実害は、報告されなかったのですが、攻撃の可能性があったためにカード取り替えということになりました。私のeResidencyカードは、新しいやつなので、交換されたあとのものだ、ということを受領するときに説明をうけました。