投稿者: FIDO アライアンス スタッフ

ドイツ連邦情報セキュリティ局(BSI-Bundesamt für Sicherheit in der Informationstechnik)は、FIDO アライアンスが現在提供している最高レベルの検証であるCertified 認証器 Level 3+レベルを初めて達成した組織となり、大きなマイルストーンが実現しました。

レベル3+への道のりは、数年かけて作られてきました。

FIDO アライアンスの認定ディレクターであるレイ・リベラ博士は、認定認証器プログラムはもともと、FIDO認証器のより高いレベルの保証を定義するために2018年8月に開始されたと説明しました。 同氏は、FIDOの仕様には、セキュリティとプライバシーが内在していると指摘した。 Certified 認証器 プログラムの目標は、認証システム自体に追加のセキュリティ保証を提供することです。

今回、初めて認定 認証器 レベル3+の認定が与えられたことで、リベラ氏は他の組織もこれに続き、世界中のユーザーや組織の強力な認証の向上に貢献すると予想しています。

「認定 認証器 では、引き続きより多くのピックアップと採用が見られます」とリベラ氏は述べています。 「レベルが上がるほど、脆弱性のリスクは低くなります」

さまざまな認定 認証器 ・レベルを理解する

Certified 認証器 プログラムには3つのコアレベル(L1、L2、L3、および)があり、各レベルは前のレベルの要件に基づいています。 ベンダーが各レベル(L1+、L2+、L3+)内で「+」を達成できるように、段階的な追加保証を得ることができます。

このプログラムは、オーセンティケータを評価して、「オーセンティケータは秘密鍵をどの程度保護しているか」という質問に答えます。最も基本的なエントリーレベルはL1で、ベンダーはFIDO仕様をサポートし、実装することで実現できるとRivera氏は述べています。L1で認定されたオーセンティケーターは、フィッシングや認証情報の悪用に対する保護を提供します。

L2に昇格したRivera氏は、マルウェア攻撃から保護するには、制限された運用環境が必要であると指摘しました。 L3とL3+に関しては、ハードウェア認証システムに注目し、ブルートフォース攻撃に対する保護を提供する方法を検討することが重要であるとRivera氏は述べています。

「当社の上位プログラム、特にレベル 3 と 3 以上のプログラムの中核的な属性の 1 つは、製品にコンパニオン プログラム認定と呼ばれるものが必要であることです」と Rivera 氏は述べています。

同氏は、これらの上位レベルに対して定義されているコンパニオンプログラム認定は、特定のデバイスまたはサービスのセキュリティ体制を定義するのに役立つ一連の評価と指定を提供する コモンクライテリア であると指摘しました。

「レベルが上がれば上がるほど、オーセンティケーターはあらゆる種類の攻撃に対して脆弱になります」とRivera氏は述べています。

レベル3+ 認定 が重要な理由

BSIがL3+の認証を受けたことで、他社も最高レベルのセキュリティ保証に向けて同じ道を歩むことができます。

「個人的には、これはプログラムにとって大きな飛躍だと感じています」とリベラ氏は言います。

リベラ氏は、これまで多くの製品が認定認証 認証器 の下部レベルで認定されていると指摘しました。 最初のL3+が達成された今、彼女は、より高いレベルの保証を得るためにプログラムに参加する組織からの関心が高まると予想しています。

「この認定は、特により高いレベルで、当社の認定認証プログラムの価値を明確に示しています」と彼女は述べています。 「金融、医療、エネルギー、教育などの政府や規制対象の業界では、多くの場合、ネットワークに特定の種類の認証を必要とする、より機密性の高いユースケースがあります。これらの市場のベンダーや証明書利用者は、ハードウェア保護のニーズを満たし、コモンクライテリアの認定も受けているため、これをメリットと見なしています。

他の人が最初のレベル3+認定からどのように利益を得ることができるか

BSIがレベル3+の認証を取得したことで、文字通り、他の企業がたどるべき道が開かれました。

Rivera氏は、L3+認証には保護プロファイルが関連付けられていると説明しました。 プロテクションプロファイルには、L3+ の実現に使用されるすべてのコンポーネントが含まれています。 そのため、別のベンダーが保護プロファイルを利用して製品を開発し、より高いレベルで認定を受けることができます。

「保護プロファイルは、より高いレベルを求めている人にとって、何をする必要があるか、実装にどのような変更を加える必要があるかについて、優れたガイダンスとして機能します」とRiveraは述べています。 「BSIがレベル3+の認定を受けたことで、他の人がこのレベルを達成し始めるのが少し簡単になりました。」