トラストサービスフォーラムinベルリン Day1 その4

15時30分から16時45分までは、「トラストサービスのあらたな機会-リモート・サイニング」というパネルです。登壇者は、Evgenia Nikolouzou (NISA)、Kim Nguyen(D-TRUST)、Adreas Kuehne (OASIS, trustable)Andrea Röck (Universign, ETSI STF 539 expert)Jon Ølnes (Signicat) です

最初は、Andreaさん(ETSI)です。スライドは、こちらです。Universign についての紹介が簡単になされました。

ETSI 特別タスクフォース(STF) 539は、3つのドキュメントを明らかにしています。TSP119 -431-1は、「リモート(適格)署名製造機器を運営するトラストサービス提供者のコンポーネントのポリシおよびセキュリティ要件」です。これは、コンポーネントについてのものになります。TSP119 -431-2は、「先進署名製造機器をサポートするトラストサービス提供者のコンポーネントのポリシおよびセキュリティ要件」です。TSP119 -432は、「リモートデジタル署名作成のためのプロトコル」です。

問題点としては、電子署名・電子シールの状況を明確化するということ、と電子署名生成装置の認証の限界点ということです。

Adreas(OASIS)さんは、このスライドです。

OASISの活動をアップデートになります。DSS-Xは、デジタル署名をウエブサービスで進めるためのインターフェースを提供することにしており、その新たなバージョン2を公表したことになります(2年前)。DSS-Xのプロファイルは、ローカル署名の委員会のドラフトの段階ですが、鍵の設置については、種々のバリェーションがあります。

将来の姿については、こちらです。

 

次はJonさんです。スライドは、こちら。Signicatという会社のご説明からです。

ポイントとなるのは、このスライドでしょうか。

利用者としては、署名の必要性が生じたときに、フロントエンドでの署名、IDの提供をうけること、場合によっては、タイムスタンプを付すこと、その他の方法を用いることなどが、選べることができるとされています。

また、連携電子署名の考え方が紹介されています。Signicatという会社はIDプロバイダの証明に基づいて署名をなして、場合によっては、他のサービスとも連携します。

その一方で、適格電子署名が回答なのか、きわめて高価であって、ノルディック諸国においては、適格電子署名が求められていないということもあります。

そのあと、フロアでの質問に移行しました。

このセッションでは、市場でのニーズがあるのか、という議論がなされたのは、興味深かったです。回答では、リモート署名のみがニーズがあるのではないか、という回答がなされていました。一方では、ドイツでは、適格電子署名は、成功してきました、という回答もなされており、いろいろいな状況のようです。また、適格かどうか、違うのか、というのについては、いろいろいな状況があって、それは、国にも状況にもよるだろうという回答もなされました。

トラストサービスフォーラムinベルリン Day1 その3

13時45分から15時までは、「eIDAS適合監査の国際的認証」というパネルです。登壇者は、Arno Fiedler (Nimbus)、Eric Gonnot(LSTI)、Inigo Barreira (360)、Marcin Szulga (Asseco Data Systems)、Olivier Delos( Sealed)です。

自己紹介のあとは、最初は、Olivier Delos ( Sealed)さんのプレゼンです。スライドは、こちら。このスライドは、適格タイムスタンプのモデルを例にとって解説したものです。

765/2008の規則(製品販売に関する評価機構の要件および市場監視についての規則)によって認定された国内認定機構は、全部で10あり、任意的な組織となります。

eIDASの認定のスキームがあって、eIDASの認定機構があり、ISO/IEC17065とEN 31 9403とeIDAS要件からなりたっています。

ここで、欧州認定機関協力機関は、これを促進しています(促進限定となる)。eIDASの適合性評価機関は、30ほどあり、すべてが、ISO17065のもと、95%が、EN3190403のもと、評価をなすものとされています。トラストリストは、欧州委員会によって提供されていますが、これによって情報が提供されることになります。この仕組みを促進することによって国際的なレベルで承認・採用されることになっていきます。国際的にも促進されることになります。認証スキームをより周知されることになって、
また、ガバナンスがなされることになります。欧州委員会は、サイバーセキュリティ法に適合させた2020年改訂版を考えており、より、アクティブな役割をはたすことになります。
ひとつの認証を得れば、どこでも活躍できるワンストップショッピングが準備されています。2枚目のスライドでいくと、ウエブの信頼分野があり、また、ETSIの標準の体系があることになります。

次は、Szulgaさんの「eIDASトラストサービスと監査の国際的承認」の説明です。スライドは、こちら
法的なドライバです。ビジネス的な考え方からいえば、適合の問題は、実際のビジネスから始まっていきます。トラストサービスが認知されば、消費者が、これを信頼して、利用するということなります。このような国際的な利用が広がっていくとかんがえているわけです。 この例としては、アゼルバイジャンのデジタル貿易ハブと中国のEUにおける投資があります。

若干の問題点をあげておくと、プロバイダが、本人の実在性を確認するのにあたり、物理的に面識をもつのと同等の信頼性あると国内法によって確認された識別手法によって確認することになる(規則24条1項(d))が、これを国際的な場面でどのように考えるべきか、という問題があります。あと、インシデント報告の実務も問題になります。

次は、Inigoさんの360ブラウザについての説明になります。スライドは、こちら。二つのブラウザがあって、ひとつは、セキュリティブラウザです。360ブラウザは、ルートストア(トラストリスト)を実行し、管理します。ポリシと手続は、CA/ブラウザ・フォーラムで述べられていることにしたがった報告書/認証書によって認められています。問題としては、実際には、いろいろなツールで問題があり、また、それらが反映されないということもあります

ETSIの技術標準は、認められていますが、ルートストアとしては、取り込まれていません。より、堅牢なエコシステムが必要だといえます。中国で、どのように扱うかは、議論中であるといことがいえます。

Ericさんの発表スライドは、こちらです。 所属しているLSTIは、適合性評価機関(ACAB)となります。CABフォーラム、ETSI、ENISAとの関係についての説明がなされました。

あとは、フロアとの質問でした。

 

 

 

 

 

[1] https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:218:0030:0047:en:PDF

トラストサービスの調査ワークショップを開催します。

株式会社ITリサーチ・アートは、平成31年2月7日 午後1時30分より「トラストサービスの調査ワークショップ 2019」をTKP渋谷カンファレンスセンターにて開催いたします。

このワークショップは、平成30年度 総務省受託調査「トラストサービスに関する調査の請負」の調査の一環としてなされるもので、トラストサービスに対する法的対応等の国際的比較の一助として開催されます。

詳細については、運営についての担当であるノーサレンダー株式会社のホームページをごらんください。

 

 

外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明

「外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明」という記事がでています。

外務談話は、こちらです。

NISC注意喚起は、こちらです。

まず、APT10が、国際法的に、どのように位置づけられるのか、ということになります。

まず、このような攻撃が、国家に帰属する行為であることがポイントになります。国家の帰属については、タリンマニュアル2.0の規則17「非国家主体によってなされたサイバー作戦は、次の場合に国家に帰属する(以下、略)」という原則が適用されることになります。「中国・天津にある公安当局と連動して」というのが、そこになります。

でもって、同規則32の解説によると「データ入手を目的として他国のサイバー・インフラにハッキングした所、そのインフラの機能が停止した場合」主権侵害になります。この案件では、そのレベルだったと認定されれば、主権侵害となり、これら一連の行為は、中国の国際的違法行為ということになります。この場合、同規則20によって、国家は「対抗措置(性質上サイバーであるか否かを問わないをとる権限を有する」とされます。

本件は、上記国際的違法行為を認定しているかは、微妙に思えますが、外交としての責任決定(アトリビューション)を行っているとなると思います。

ところで、これが異例か、ということになります。アメリカでは、前から行っています(ソニーピクチャー事件のオバマコメント やWannaCry、NotPetya事件でのコメント)。

外務省も「中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても,サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており,サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。」となっており、上の外交としての、帰属表明・非難となっているように思えます。

その意味で、国際的な規範が、国家の実行によって明らかになってきている、というような気がします。

—12月22日 追記—

でもって、「上記国際的違法行為を認定しているかは、微妙に思えます」としました。これは、中谷ほか「サイバー攻撃の国際法-タリンマニュアルの解説」に依拠して、エントリを書いたわけです。そこでは、機能の停止が主権侵害の要件とされています。でもって、情報の取得のみで主権侵害ではないのか、ということになります。タリンマニュアル2.0オリジナルを読んだところ、規則32のコメント6以下のところでは、種々の場合について、多数説において主権侵害と解される場合などが論じられています。この件についていえば、多数説レベルだと機能喪失(コメント6)、人権侵害(コメント6)、被侵害国内での活動を伴う場合(コメント9)、計画全体が、武力の行使の予備行為の場合(コメント10)などで主権侵害を認めている。また、少数説は、重大性(コメント8-合意に達しない)があれば、主権侵害と考えます。

 

“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声

トラストサービスの報告の途中で、ちょっとコメントを挟んでしまいます。

“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声というNHKのニュースがあります。

司法が判断するのは、当然だとしても、その段階で技術的な正確な評価がシステム的にはいってこないというのは、問題かもしれません。検察庁も、やっと人をITまわりのところに出向させるようになってきているのですが、それをうまくシステム的にいくところまでもっていってほしいです。

ということで、米国の2001年段階(17年前)の状況をみてみましょう。

司法省の捜索・差押マニュアルからです)

(1)連邦の区の段階では、どの連邦検察官事務所にも、コンピュータ電気通信コーディネーター(以下「CTC」)として任命された連邦検察官補が、少なくとも一人は、配置されていた。

CTC は、コンピュータ関連の犯罪の広範囲にわたるトレーニングを受けて、自己の地区の内で捜索・差押マニュアルでカバーされる話題に関連する専門的技術を提供することを主たる責務としています。

(2)ワシントンDC の米国司法省の刑事課の中のいくつかのセクションがコンピュータ関連の分野に専門的技術を持っている。
ここらへんは、我が国も結構、専門的な技術のレベルでは、準備が整っているようにみえるのですが、どうでしょうか。

(3)コンピュータ犯罪と知的財産セクション(以下「CCIPS」)が常設されている。
一般の執務時間中は、少なくとも2 人のCCIPS 法務官が、捜査官と検察官に対してコンピュータ犯罪の事案で起こる他の事柄と同様に捜索・差押等の話題について質問に答え、支援を提供すべく勤務している。
捜索・差押マニュアルには、「CCIPS の代表番号は(202)514-1026 である。執務時間後は、ジャスティス・コマンドセンター(202)514-5000を通じてCCIPS に連絡をとることができる。」という記載があります。

ということなので、必要なのは、システム的に完備することのような気がします。
個人的には、技術者と司法が協力すべきだ、といってみても仕方がないような気がします。

トラストサービスフォーラムinベルリン Day1 その2

トラストサービスフォーラムinベルリン Day1 の2は、11時45分から13時までの「「認証のための提案された規制枠組におけるトラストサービス」というパネルです。

最初は、簡単な自己紹介がなされました。

そのあと、最初は、モデレーターのSlowmir GorniakさんによるCyber Security Package 2018 の解説です。サイバーセキュリティ戦略、サイバーセキュリティインシデント報告、NISガイドライン、サイバーセキュリティ法提案を考えることができます。
サイバーセキュリティ法提案のなかで、ENISAは、欧州のサイバーセキュリティを担当する永続の機関になるとともに、第2のパートにおいては、認証過程に貢献することになります。このプロセスは、任意的に、ICTデバイスやサービスなどについての認定を統一しようというもので、考え方としてはアンブレラであって、セクター間のものです。
この点については、Day2で詳しくみていくことにします。(名称は、「ENISA(サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」案

参加者から、認証やデバイスについて、考えを述べることになりました。

Herbertさんからは、リモート署名が、普及しつつある場になっているということにふれました。署名指令がマキシマムの標準であったものにくらべると、eIDASは、最低限の標準になっているという点が注目すべきであるといえます。

Stefanoさんからは、電子署名指令からの流れやたくさんの議論があったことが議論されました。オランダの市場が立ち上がりました。トラストサービスプロバイダもある。現在では、統一指令があり、認証商品がある、それに、eIDAS規則がある、欧州の統一されたものがある、チャレンジである。サイバーセキュリティ法については、重要なものであると考えています、ということでした。

Boryannさんからは、ドイツの電子署名法にもとづいての認証のリリースがあって、それに従事していたことが話されました。

Delosさんからは、ISO17065の仕組みに則ったeIDASの仕組みの説明がなされました。スライドは、こちらです。

eIDASの認証認定スキームは、欧州認定協力(EA)が、765/2008にもとづいて、ISO/IEC 17065、EN319 403、とeIDAS要件にもとづいてなされます。具体的には、eIDASの適合性認定機関が(Conformity Accreditation Body)、適合性評価機関によるeIDAS認証スキームによって、適格サービスプロバイダやそのサービスが提供されることになります。それが、監督機関に通知されて、トラストリストに掲載されることになるのです。
ここで、一つの問題は、適格署名生成機器(QSCD,Qualified Signature Creation Devices)です。適格トラストサービス提供者が、そのなかで、適格署名を生成するということは、一つの論点になっています。現在の者は、スマートカードのようなデバイスに適合したものになっています。新しいものは、適格トラストサービス提供者が、その手元で作成する場合を考えなければなりません。
次は、Boryannさんは、QSCDの認証について、リスト化されているようになっているという話がなされました。

そのあとは、Q&Aのセッションになりました。QSCDのスキームは、十分であるのか、とか、の質問がなされました。具体的なやりとりは、省略します。

トラストサービスフォーラムinベルリン Day1 その1

ベルリンでのトラストサービスフォーラムの出張メモです。

トラストサービスフォーラムは、ENISAが、D-TRUSTと共同で開催している会議になり、今年が、4回目になります。10月23、24日とベルリンで開催されました。具体的な紹介は、こちらになります。

出席者は、120-30名という感じでしょうか。

スケジュールとプレゼンテーションの各ファイルは、こちらからダウンロードできます。

では、早速、午前中の前半のセッション(1000-1115)をみていきましょう。

1 歓迎の言葉(Anders Gjøen)

最初の導入は、Anders Gjøenさんです。スライドは、こちらです。
私たちは、デジタル社会におけるトラストがいたるところで、役に立っているのをみることができます。

EIDAS規則を簡単に見るとすると、二つの章が異なった規則と要件を述べているということになります。2章は、eID手段の相互認証であり、3章は、電子トラストサービスです。さらに9章では、電子ドキュメントについて述べられています。(スライド3頁目)
2018年には、電子署名も進歩しています。トラストリストを一覧でみることができ、サクセスストーリーにもなりました。接続ツールの準備や認証のテストケースが準備されています。また、協力ネットワークにおける意見が準備されています。協力がなされているエリアとしては、専門家グループ、ETSI、ENISA、産業界、国連、第三国などがあります。

eIDASの果たしている役割は、マネーロンダリング指令(AML5)、PSD2指令、越境における一回限り原則、デジタルにける顧客知しゅうの原則、会社法、虚偽情報対応、GDPR対応などがあります。(16頁目)

加盟国における大規模なパイロットプロジクト(PEPPOLやSTORK)があって、それらが、ボトムアップで、個々のサービスに提供されるのに対して、eIDAS規則は、上から法として枠組を与えています。

CEF(Connecting Europe Facility)は、eIDと電子署名において、種々の提案をなそうとしています。
次は、何になるのでしょうか。グローバリゼーション、スムーズな経験への需要が増加しており、その一方で、個人情報の利用についての懸念があります。 デジタルアイデンティティの市場は、混雑し、大変化しています。公的部門と民間の依存は、相互に高くなっており、サイバーセキュリティのリスクが増加するとともに、新規技術は、勃興しています。これらが、eIDやトラストサービスの進化をもたらす要因といえるでしょう。
EUは、未来への投資をなしています。

2 eIDAS規則-曲がり角を曲がって(Andreas Mitrakas)

このスライドは、こちらです。

EU戦略の全体像があります(同スライド2頁目から)。

中心にデジタル単一市場、サイバーセキュリティ戦略を起き、それをNIS指令、GDPR、eプライバシー規則提案、サイバーレジリアンス・競争的・イノベーテヤブなサイバーセキュリティ育成、eIDAS規則が取り囲んでいるわけです。
ENISAは、この戦略のなかで、重大な役割を示しています。その図解をみてみましょう(スライド3頁目)

この図でわかるように研究、トラスト提供事業者のためのガイドライン、事件報告、トラストサービスフィ―ラムの柱をそれぞれささえているのです。
研究には、適格ウエブサイト認証証明書、標準のためのマッピングがあります。上記トラスト提供事業者のためのガイドラインのガイドラインには、セキュリティ枠組、トラストサービスプロバイダのためのガイドライン、監査枠組、開始・監督・終了のガイド、頼れるバートナーのガイドなどがあります。また、インシデント報告については、19条専門家委員会、CIRAS-T報告ツールがあります。
eIDASの成功ストリーとしては、モバイルコネクス、ドイツの保険ドットコムなどがあります。
EUのサイバーセキュリティ認証枠組の基本的な要素をみることができます。

スキームの範囲

プロセス、製品・サービスのタイプ・カテゴリを含む

評価の過程において標準への参照を行う CAB(認証認定団体)のサイバーセキュリティ要件の特定

特定の評価クライテリア及び方法の利用

申請者のCABへの情報提供
マークやラベルの利用条件

認証証の維持および延長の条件

認定証明書/EU適合宣言のモニタリング・適合の規則 脆弱性報告のルール

CABにおける記録維持

同種のエリアにおける国家・国際スキームの特定

EU適合宣言の内容

有効期間

開示原則

相互認証

また、以下のような実施のスキームを考えることができます。

3  2017年トラストサービスセキュリティインシデント分析(Evgenia Nikolouzou)

このスライドは、こちらになります。

最初に、リスクアセスメント、セキュリティ手法、インシデンドレスポンスのトライアングルを考えることができます。


これは、各国において監督機関から監督されており、テレコム枠組指令13条、eIDAS規則19条、NIS指令14条および16条でふれられています。
時系列的にも、2011年5月テレコム・セキュリティ侵犯報告、2016年7月eIDASトラストサービスセキュリティ侵害報告、2018年5月NIS指令侵犯報告開始となっています。また、規則40条に基づく電気通信規範が準備されています。

セキュリティインシデント報告は、サービス提供事業者や監督機関にとっての学習のツールであるといえます。eIDASは、セキュリティ侵害について強制的に監督機関に通知する仕組みをとっています。監督機関は、越境のインパクトがある場合には、これをENISAに伝えることになっており、19条にもとづく報告書を作成しています。
各国の監督機関と加盟国の監督機関、委員会、ENISAの関係の図は、以下のようになります。

 

ENISAは、eIDAS規則19条の枠組のガイドラインを公表しています(Article 19 Incident reporting) 。報告の閾値を定めるのは、困難なチャレンジであり、二つのアプローチ(シナリオによる場合/インパクトのある資産による場合)が利用されています。

2017年版においては、13の事件が紹介されています。
43パーセントが、電子署名・電子シールの作成に影響をあたえたものになります。根本原因としては、システムミス、第三者のミスが多いです。およそ半分の事案が国境を越えるインパクトがあるものである。

結論としては、インシデント報告のメカニズムは、実働しており、その要件は、成熟しつつあります。脅威と事件の十分な情報の交換に貢献しており、国境を越えた協力と事件情報の共有がきわめて重要である。ということがいえます。

4 Enisaの活動のアップデート(Goriak)

このスライドは、こちらです。

ENISAは、種々のガイドラインを公表しています。

2017年12月には、適格サービス事業者の標準に基づいた推奨事項、トラストサーヒズ事業者の統合評価、トラスストサービス事業者のセキュリティ枠組、トラストサービス規定の開始/監督/終了のガイドラインを発表しています(https://www.enisa.europa.eu/topics/trust-services/technical-guidance-on-qualified-trust-services)。

また、2018年 には、eIDAS/トラストサービスの実装と理解の概観 がそれぞれ、公表されています(https://www.enisa.europa.eu/publications/eidas-overview-on-the-implementation-and-uptake-of-trust-services)。

2018年の活動プログラムとしては、トラストサービスの実装と理解の概観、新たな標準の評価、ROCA脆弱性 、eIDASの監査の研究、eIDAS/NIST/Mobile Connect/その他との保証レベルのマッピングなどがあります。

また、新しい標準の評価として、CID(EU)2016/650があり、新しい標準自体としては、EN419 221-5(TSPの暗号モジュールの保護プロファイル)、CEN EN 419 241-2(サーバ署名における信頼しうるシステム)があります(スライド4頁)。
eIDAS監査を世界的に、受容させるという目標がある。このために、eIDAS 一致評価報告とよびそれに関連する要件をうかがう推奨事項を提案するのが目的である。特に、QWAC (適格ウエブサイト認証証明書)の監査の受容を促進することである(スライド5頁)。

ちなみに上でふれたROCA脆弱性(Return of the Coppersmith Attackの脆弱性)ですが、infineonのチップにおいて、秘密鍵を公開鍵から生成できるというものです。エストニアのeIDカードにも存在したものであって、実害は、報告されなかったのですが、攻撃の可能性があったためにカード取り替えということになりました。私のeResidencyカードは、新しいやつなので、交換されたあとのものだ、ということを受領するときに説明をうけました。

トラストサービスフォーラムinベルリン 観光編

10月23日、24日にベルリンを訪問して、トラストサービスフォーラムに出席してきました。

なので、続けて、その会議で議論された状況を報告していきたいと思います。

まずは、ベルリンの写真から。ベルリンは、会議の翌日(25日)に、町中を歩いてみました。ただ、あいにく小雨模様だったので、町の中心街を訪問するくらいでした。

訪問場所は、

ブランデンブルグ門に

フンボルト大学

チェックポイントチャーリー

と、あと、いくつかの博物館を見て回りました。

でもって、実質3日いただけで、日本に戻る旅となりました。が、トラストサービスフォーラムでは、きちんと分析すると、EUのサイバーセキュリティに関する非常に重要な情報をうることができたような気がします。

くわしくは、次から。

 

総務省「トラストサービスに関する調査の請負」を落札いたしました。

株式会社ITリサーチ・アートは、平成30年度 総務省「トラストサービスに関する調査の請負」を落札させていただきました。

調査事項は、

  • 我が国とEU におけるトラストサービスに関する法制度等の対応関係及び差異の調査
  • 電子署名及び認証業務に関する法律における課題の抽出

となり、さらに、調査の結果の中間報告をワークショップにおいて報告をなした上で、その議論をもとに調査報告書をまとめることになります。

当社としては、我が国とEU におけるトラストサービスに関する法制度等をなすとともに、中国および韓国のトラストサービスに関する法制度をも調査すべく、現在調査に従事しております。

ワークショップおよび調査報告書で、調査の結果を、世間に問うべき努力してまいりたいとおもいます。関係者各位、特に、トラストサービスにかかわる方々、いろいろと事情をお聞かせいただきたいということでお話を伺うことにあるかとおもいます。その際は、よろしくお願いします。

2018年米国サイバー戦略をどう見るのか

結局、メディアのような「サイバー兵器を使いやすくなる」とか、「攻撃的対処も可能に」「先制攻撃の権限拡大」とか、威勢のいい表現は、見つけることができませんでした。

むしろ、文言を見ていくと、同盟国とのインテリジェンスをも活用した攻撃の責任帰属の確定とその公的アナウンスによって、外向的手法で、安全なネットワークを構築していこうという実務的な手法の強調が重要視されていると私は、読んでみました。

ソニーピクチャーズでのオバマ大統領のTVインタビュー、NotPetyaでのアナウンスメントと、サイバー戦略としての継続性をみるわけです。

メディアの論調としては、異なりますが、Law & Policyの専門の分析がどのように分析をしているのか、ちょっと聞いてみたいところです。