FIDO 認証機関セキュリティ要件に影響を及ぼす可能性のある認証済み認証機関への変更が随時行われる。 これらの変更は、非干渉、マイナー、メジャーに分類され、デリバティブ、デルタ、再認定に直接関係する。
これらのプロセスの開始点は、既存の認証済みオーセンティケータに変更が加えられる場合である。 この変更は、発見された欠陥を修正するためのパッチ、機能の強化、新機能の追加、ガイダ ンス文書の明確化、Authenticator ハードウェアおよび/またはソフトウェアに対するその他の変更となる。
FIDOアライアンスは、このような変更が発生した場合のプロセスを開発した。 これはFIDO影響分析報告書(FIAR)であり、以下に説明する。
変更点の評価内容
ベンダーは完成したFIAR 報告書を FIDO セキュリティ事務局に提出し、FIDO セキュリティ事務局は報告書に記載された変更点を分析し、FIDO セキュリティ要求事項の適用範囲への影響を判断する。
FIARの提出には、実施者アカウントが必要です。 アカウントをお持ちでない方は、こちらからアカウントを作成してください。 実施者ダッシュボードからFIARを提出してください。 すでにインプリメンター・アカウントをお持ちの場合は、認証情報を使ってログインし、ダッシュボードにアップロードすることができます。
FIDO影響分析レポートのレビュープロセス
FIARの審査プロセスは3つのステップで構成される:
- FIAR提出ステップ:ベンダーは、上記リンクで提供されているテンプレートに基づき、完全なFIAR文書を提出する。
- FIAR レビューステップ:FIDO セキュリティ事務局は、提出された FIAR レポートの完全性をレビューし、FIDO 認証機 能セキュリティ要件への影響を判断するために変更を分析する。
- FIAR 結論ステップ:FIDO セキュリティ事務局は、認証済み認証子に対する変更の特徴に基づく判断を提供する。 その結果、変更は「干渉しない」「マイナー」「メジャー」のいずれかとなる。
デリバティブ認証プロセス
変化
干渉しない変更は、FIDOセキュリティ要求事項の適用範囲に影響を与えない。 典型的な変更は、Authenticator バウンダリ外の機能、または機能的特徴に関連するバグ修正、パフォーマンスの最適化、名前や外観の更新である。
派生 FIDO 認証子認証 プロセスは、以前のバージョンで既に認証された認証子に対して実施される。 セキュリティ事務局が、ベンダから提供された FIAR をレビューした結果、FIAR に反映された変更が FIDO セ キュリティ要求事項の適用範囲に影響を及ぼさないと判断した場合、既存の証明書の補遺が作成される。 このプロセスが終了するまでに、一般に公開される。 デリバティブ認証はこちらから。
デリバティブFIDO認証の提出の一部として、以下が要求される:
デルタ認証プロセス
マイナーチェンジ
軽微な変更とは、認証子を再認証する必要があるほど、テスト手順および校正要件が提供するセキュリ ティ保証レベルに影響を与えない程度に、影響が十分に小さいものである。 キャリブレーションを必要としないFIDOセキュリティ要件への変更は、通常この範囲に含まれるが、これは制限されたケースではない。 典型的な変更は、セキュリティ機能または ASP に間接的に関連するバグの修正、Authenticator バウンダリと相互作用する追加機能、またはセキュリティ強度の最適化である。 例えば、これらに限定されない: 1) 他のプラットフォームへのFIDO認証アプレットのインストールと 2) 別のトランスポートモードを持つFIDO認証アプレット。 これらの例はいずれも、変更次第では再認証となる可能性があるため、必ずFIARに正しく記載すること。
デルタ FIDO 認証機関認証は、以前のバージョンで既に認証されている認証機関に対して実施される。 セキュリティ事務局が、FIAR に反映された変更が FIDO 認証機関セキュリティ要件対象範囲に軽微な影響しか与えないと判断した場合、以下を適用しなければならない:
- L1認証の場合:FIDOセキュリティ事務局は、VQに加えられた更新のみを審査し、承認した後、既存の証明書の補遺を作成し、プロセス終了までに一般公開する。
- L1+ 認定以上の場合:認定ラボは、VQに加えられた更新のみを確認し、デルタテストを実施し、新バージョンを反映するために関連するFERを更新する。 その後、FIDOセキュリティ事務局によって既存の証明書の補遺が作成され、プロセス終了までに公開される。
以下は、デルタFIDO認証の提出の一部として要求されるものである:
- 完成したFIAR報告書(安全保障事務局がデルタを評価)
- 完成した自己適合試験結果
- 相互運用性テスト(オンデマンド・オプションあり)
- 認証リクエストフォーム(リクエスト時にデルタと記載)
再認証プロセス
メジャー・チェンジ
大きな変更は、セキュリティ保証レベルに潜在的な影響を与える。 キャリブレーションを必要とするFIDOセキュリティ要件への変更は、通常このカテゴリーに入る。 典型的な変更は、ASP または暗号化アルゴリズムの追加/削除/置換、新しい対策の実装、あるいは Authenticator バウンダリー・セキュリティ・アーキテクチャの変更である。 場合によっては、いくつかの小さな変更を含む更新が、セキュリティーに大きな影響を与える可能性があり、その場合、セキュリティー事務局はそれを大きな変更と見なすかもしれないことに留意されたい。
FIDO 認証機能の再認証は、以前のバージョンで既に認証されている認証機能に対して行われる。 セキュリティ事務局が、FIAR に反映された変更が FIDO 認証機関セキュリティ要件の適用範囲に重大な影響を及ぼすと判断した場合、以下を適用しなければならない:
- L1認証の場合:FIDOセキュリティ事務局は、VQを完全にレビューする一方で、重複作業を最小限にするため、可能な限り過去の認証結果を再利用する。 そして、それを承認し、既存の証明書に代わる新しい証明書を発行する。 この新しい証明書は、プロセス終了までに一般公開される。
- L1+認定以上の場合:認定ラボはVQを完全に見直し、可能な限り前回の認証結果を再利用しながら試験を再実施し、労力の重複を最小限に抑える。 その後、FIDOセキュリティ事務局に提出する前に、新しい結果を反映するようFERを更新する。 後者がFERを検証し、既存の証明書に代わる新しい証明書を発行する。 この新しい証明書は、プロセス終了までに一般公開される。
以下は、再認証FIDO認証の提出の一部として要求されるものである:
- 記入済みのFIAR報告書(安全保障事務局によって評価され、再認証が決定される)
- 完成した自己適合試験結果
- 相互運用性テスト(オンデマンド・オプションあり)
- 透水性の再利用を伴うVQの完了。
- 認証リクエストフォーム(リクエスト時に完全な認証を示す)
フル認定の価格詳細はこちらをご覧ください。