経済産業大臣表彰/山田 朝彦(やまだ あさひこ)氏
国立研究開発法人 産業技術総合研究所
サイバーフィジカルセキュリティ研究センター 招聘研究員
バイオメトリクス認証の国際標準化に貢献
指紋や顔、静脈、虹彩など、個人に固有な生体的特徴を利用して、本人であるかどうかを確認するバイオメトリクス認証(生体認証)は、社会における情報セキュリティを実現するために欠かせない技術となっている。国立研究開発法人産業技術総合研究所の山田朝彦氏は、約20年にわたりバイオメトリクス認証やIoT(インターネットオブシングス)の国際標準化に取り組むこの分野の第一人者であり、ICT産業※1のみならず、金融業界におけるセキュリティ向上にも貢献している。
※1 携帯やパソコンなどの利用者における端末や機器、通信事業者などが提供するネットワーク、クラウド・データセンター、動画・音楽配信やSNSなどのコンテンツサービスにセキュリティやAI、データなども含む。
ICT分野のセキュリティ製品の評価に関する国際規格としては、ISO/IEC 15408(コモンクライテリア(略称CC)※2をISO化した国際規格)が存在し、2000年頃から運用がされていた。バイオメトリクス認証製品もICTに含まれるものの、誤受入・誤拒否※3を測定する精度評価や偽造物等の提示による攻撃の検知評価が必要であるなど固有の性質があり、ISO/IEC 15408で評価するには不足があることが指摘されていた。
※2 情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際規格。CCのISO化に対応し、我が国においては2000年にISO/IEC 15408がJIS X 5070(情報技術セキュリティの評価基準)として制定された。CCによる評価認証制度では、評価機関による製品評価結果を、認証機関が確認して製品認証する。CC承認アレンジメントという国際協定の加盟国においては、認証機関は唯一設置され(日本では情報処理推進機構)、評価機関は認証機関から資格付与された組織である(日本では3社)。
※3 誤受入とは、予め登録された生体情報とは別の人の生体が提示されて同一と判定すること。誤拒否とは、予め登録された生体情報と同一の人の生体が提示されたのに同一でないと判定すること。
2015年頃、ISO/IEC 15408を制定したISO/IEC JTC 1/SC 27(情報セキュリティ,サイバーセキュリティおよびプライバシー保護)で、日本やドイツ、フランスなどが中心になってバイオメトリクスに関する国際規格を制定しようという動きが起こり、国内でも山田氏が中心となって経済産業省事業「クラウドセキュリティに資するバイオメトリクス認証のセキュリティ評価基盤整備に必要な国際標準化・普及基盤構築」を立ち上げ3年間実施した。山田氏はSC 27の国内委員会委員として活動する一方、ISO/IEC JTC1/SC 37(バイオメトリクス)の国内委員会委員長としてSC 37にも日本代表として参加していた。この新たな国際規格の制定に対しては国内でも賛否両論があり、海外でも英国から反対意見が出されるなど、波乱のスタートだった。「CCによる評価認証がバイオメトリクスの製品に適用されるようになると、負担が増えるという見方があった。評価機関に払う評価費用や、証拠文書をCC準拠でつくるためにかかるコンサル費用など、お金も時間も必要になるためだ。SC 37国内委員も含めバイオメトリクス製品を扱う企業からすると『そこまでしなくていい』という声も挙がった」と苦笑い。しかし、CCによる評価認証が可能になれば、調達する側にとっては大きなメリットがある。国内企業になぜ国際規格が必要かを説明し、理解を得ることに尽力した。
SC 27での国際規格制定ではドイツ・フランスが積極的に賛成したこともあり、上記経済産業省事業における成果も反映して、2020年にISO/IEC 15408を準拠したバイオメトリクス製品に対するセキュリティ評価の国際規格であるISO/IEC 19989が発行された。
同規格は米軍がスマートフォンのロック解除にバイオメトリクス認証を使う際の評価認証の基準として採用しているほか、日本でもベンチャー企業がモバイル用途で同規格に基づく認証評価を得るなど、実際に利用が始まっている。民生用途のスマートフォンで用いられるバイオメトリクス認証は、同規格の評価認証を得ないものが大半だが、セキュリティに関する設計が適切にされているかを評価する仕組みなど、開発のベースには同規格が影響を及ぼしている。
IoTの国際標準化、日本案採択に尽力
IoTのセキュリティに関する国際規格ISO/IEC 30147※4は、日本が世界をリードして作り上げた。世界中の機器がネットワークでつながる世界は、便利だが危険性もある。安心安全に使うには安全性や持続性を設計段階から考えておかなければならない。
※4 ISO/IEC 30147(情報技術-モノのインターネット-IoTシステム/サービスの信頼性のための方法論)
日本の提案は、独立行政法人情報処理推進機構(IPA)が策定した「つながる世界の開発指針」、これを基に経済産業省と総務省が策定した「IoTセキュリティガイドライン」など、日本が当初から国際標準化を意識して策定した指針に基づいている。IoT製品やサービスの開発・運用における、安心安全に関する設計・保守・運用の基本的な考え方を網羅したものだ。
山田氏によると「カナダも同じことをやろうと考えていたようで当初は反対した。ただ、大半の国は『こういうものが必要だった』と歓迎してくれた。開発指針は基本的な考え方を示したもので、細かいルールではないので、受け入れられやすかった」。また、規格化作業をする場となったISO/IEC JTC 1/SC 41(インターネット・オブ・シングスとデジタルツイン)において日本側の代表と米国やスウェーデンの代表が知り合いで、協力してくれたことも大きかった。「国際会議の場とはいえ、個人的なつながりが大事だと実感した」。
標準化活動に参加することになったきっかけは、まだ株式会社東芝に在職していた2005年に、当初参加予定の人が国際会議に行けなくなり、急きょ山田氏に白羽の矢が立ったことからだった。「数年前に聞いて、いい内容だなと思っていた技術の標準化だったので、偶然に驚いた。会議に間に合わせるために、行きの飛行機の中で提案内容を必死で読んだ」と言う。同社でバイオメトリクスのセキュリティに関する事業を検討していたタイミングでもあり、企業としても国際標準化の重要性を意識していた。
その後日本代表の立場で、国際会議に多数参加したが、そこで出会った人々の中に忘れられない人がいるという。「ある米国人はとても厳しい要求を突きつけてくるのだが、その課題を解決するための材料もどんどん提供してくれる。純粋に技術的にできるだけ完全な規格にしたいという思いがひしひしと感じられた。人によっては自分の出身企業にとって有利な規格にしようと画策する場面も見てきただけに、純粋さに心を打たれた」。
現在は産業技術総合研究所で、システムセキュリティを実現するための応用技術の国際標準化をとりまとめる役割を果たしている。「日本人は国際会議の場でなかなか発言しないといった声も聞かれるが、各国が出す提案に対してコメントをしっかりと出すなど、まじめに取り組んでいることは評価されている。母国語ではない言葉での発言は大変だが、長くやっているとスキルも身につくようになる。若い人たちにもそのスキルを伝えていきたい」と後輩たちへの伝承にも力を入れている。
| 1986年〜1997年 | 株式会社東芝 |
| 1997年〜2003年 | 株式会社東芝eソリューション社SI技術開発センター主査 |
| 2003年~2014年 | 東芝ソリューション株式会社 IT研究開発センター 主査 |
| 2005年~現在 | ISO/IEC JTC 1/SC 27(セキュリティ技術)国内委員会委員 |
| 2008年~現在 | ISO/IEC JTC 1/SC 37(バイオメトリクス)国内委員会委員(2013年9月から5年間、同委員長) |
| 2013年~2017年 | 独立行政法人産業技術総合研究所セキュアシステム研究部門招聘研究員 |
| 2014年〜現在 | ISO/IEC JTC 1/SC 27(情報セキュリティ,サイバーセキュリティおよびプ ライバシー保護)/WG 3(セキュリティの評価・試験・仕様)国内委員会委員 |
| 2017年〜現在 | ISO/IEC JTC 1/SC 41(インターネット・オブ・シングスおよびデジタルツイン)国内委員会委員 |
| 2017年~2019年 | 独立行政法人情報処理推進機構ソフトウェア高信頼化センター研究員 |
| 2018年~現在 | 国立研究開発法人産業技術総合研究所サイバーフィジカルセキュリティ研究センター招聘研究員 |
ダウンロード(Adobeサイトへ)
最終更新日:2023年3月29日