認証器認定レベルは、FIDO 認証プログラムに認証器セキュリティ要件を導入する。 認証器は、UAF、U2F、および FIDO2 認証について、少なくとも認証器認定レベル 1 (L1) に認定されていなければならない。
レベルは互いの上に成り立つので、L2にはL1のすべての要件に加え、L2の追加要件が含まれる。
現在サポートされている認定レベルは以下の通り:
このページには、ポリシーおよび要件文書と 認証器認定プロセスが含まれる。
方針と要件に関する文書
認証器認定のための書類には以下が含まれる:
FIDO認証器プライバシーポリシー
本ポリシーは、FIDO 認定プログラムの一部としての認証器認定レベル、およびより一般的にはすべての FIDO 技術仕様に適用される。
ダウンロードPDF
|
FIDO 認証器認定レベル L1+ – UAF/U2F/FIDO2 ベンダー質問票
ダウンロード エクセル |
| FIDO認証器認定ポリシー 本ポリシーは、FIDO 認証プログラムの一部としての認証器認定レベルを規定する。 ダウンロード PDF |
| FIDO 認証器のセキュリティおよびプライバシー要件 この文書では、認証器認定レベルの認証器セキュリティおよびプライバシー要件について概説する。 例例:L1認定を受けようとする実装は、「L1以上」と表示された要件を満たさなければならず、L2認定を受けようとする実装は、「L1以上」および「L2以上」と表示された要件を満たさなければならないなど、認定を受けようとするレベルに応じて要件を満たさなければならない。 この文書には、ベンダー調査票(レベル L1 および L2 用)、マッピング表(レベル L3 および L3+ 用)、および各要件の試験手順書も含まれる。 ダウンロード v1.5 (ACTIVE): HTML|PDF |
| FIDO 認証器ベンダー NDA認証器認定を完了する認証器ベンダー(インプリメンター)が署名する非開示契約。 ダウンロード PDF |
ベンダー・クエスチョン・ワークシートL1 または L2 での認証器認定を完了する認証器ベンダー(インプリメンテー ター)を支援するために、ベンダー・クエスチョンの非正規ワークシートが利用できる。 ダウンロード レベル1|レベル1+| レベル2|サンプルベンダークエスチョン。 このサンプルは参考としてのみ使用すること。 本書は、ベンダーの質問票を記入する際の手引きとして、また、評価プロセスをより効率的かつ効果的なものにするための一助として提供されるものである。 |
FIDO マッピング表 非正規ワークシートは、認証器ベンダー(インプリメンター)が、選択したコンパニオン・プログラムに応じて、L3 または L3+ での認証器認定を完了する際に利用できる。 ダウンロード レベル3/3以上 FIDO影響分析報告書(FIAR)本書は、FIDO影響分析報告書(FIAR)のテンプレートを定義し、その範囲と想定される内容の構成を記載したものである。 この文書には、認証機関に変更が加えられた場合の要件が記載されており、認証機関が派生認証またはデルタ認証のいずれに該当するかを判断するのに役立つ。 この報告書は、認証器ベンダー(実施者)が記入し、FIDO セキュリティ事務局に提出する必要がある。 ダウンロード FIDOインパクト分析レポート(FIAR) |
FIDO Allowed Cryptography Listこのドキュメントでは、認証器のセキュリティおよびプライバシー要件で参照される Allowed Cryptography を定義する。 ダウンロード HTML|PDF |
FIDO Allowed Restricted Operating Environments List本書は、認証器のセキュリティおよびプライバシー要件で参照される、許可された制限付き動作環境を定義する。 ダウンロード HTML|PDF |
FIDO 認証器メタデータ要件本書は、認証器セキュリティおよびプライバシー要件で参照される認証器メタデータ要件を 定義する。 ダウンロード HTML|PDF |
認証器認定プロセス
認証器認定は、機能認定プロセスに従い、認証器認定プロセスには、L1 または L2 で記入されたベンダ ー質問票、または L3 または L3+ で記入されたマッピング表の評価が追加される。 ベンダー質問書は、ベンダーが実装が認証器セキュリティ要件を満たしていることを文書化するものである。
すでに認証器をお持ちで変更を加えた場合、または派生認証を取得しようとしている場合は、認証維持および更新のページを参照して、正しい手順に従ってください。 そうでない場合は、以下の手順に従って認証器認定を行ってください。
ハイレベルのプロセス・ステップ
- 準備
- 機能認定の要件
- 認証器認定申請(全認証器対象)
- セキュリティ評価
- ベンダー調査票
- セキュリティ事務局(L1)または認定セキュリティラボラトリー(L2、L3、L3+) セキュリティ評価およびFIDO評価報告書
- 報告書レビュー
- 認定発行
- (オプション)商標の使用
- (オプション)FIDOデータシートへのメタデータの提出
準備
FIDO認定を求める実装は、上記の文書に規定された要件を満たさなければならない。
認証器認定を求めるすべての認証器ベンダーは、FIDO認定のためのアカウントを作成する必要があります。
レベル2以上については、販売者は、以下の連絡先に連絡することを推奨する。 FIDO認定セキュリティ研究所 ベンダとラボがセキュリティ評価プロセスの準備を整え、認証器認定申請ステップの一部として認定セキュリ ティラボを記載できるように、契約と NDA の詳細を早期に調整する。
機能認定の要件
ベンダーは、FIDO 認証器認定申請を提出する前に、適合性自己検証および相互運用性試験を含む、 認証器の FIDO 機能認定要件を完了しなければならない。
L1の場合、これには相互運用性試験中に検証されなければならないL1相互運用性要件が含まれる。
認証器認定申請書
FIDO 認証器認定を開始するには、ベンダーは認証器認定申請書(インプリメンター・ダッシュボードを通 じて)に必要事項を記入する。
認証事務局は、認証器認定申請書を審査および承認し、完全なものとして承認された場合、これをベンダ ーに返却する責任を負う。
認証器認定申請は、セキュリティ評価ステップを開始する前に承認されなければならない。
セキュリティ評価
セキュリティ評価のステップには、実装がどのようにセキュリティ要件を満たしているかについてのベンダーの証明、およびFIDOセキュリティ事務局またはFIDO認定セキュリティラボラトリーが実施するセキュリティ評価が含まれる。 レベル L1 および L2 ではベンダー質問票を、レベル L3 または L3+ ではマッピング表を確認し、試験手順を完了する。
L1については、ベンダー・クエスチョンは2つのステップで完了する:
- L1 相互運用性要件は、L1 セキュリティ要件のサブセットに関する相互運用性イベント中に検証される。 (これは認証器認定申請の前に完了する必要がある)。
- ベンダーは、相互運用性イベントで検証されなかった残りの要件について根拠を示すことで、L1 ベンダー質問書を完成させる。
ベンダーの質問書が完成したら、安全保障事務局に提出する。 セキュリティー評価は、セキュリティー事務局が、記入されたベンダーの質問票を確認し、セキュリティーテスト手順を実施する。 安全保障事務局はFIDO評価報告書を作成する。
L2 の場合、認証器ベンダー(実施者)は、FIDO 認定セキュリティラボラトリーを選択し、セキュリティ評 価を実施する。 認証器ベンダー(実施者)は、L2 ベンダー質問票を FIDO 認定セキュリティラボラトリーに提出し、 承認された評価者がセキュリティテスト手順を実施する。 承認された評価者は、FIDO評価報告書を安全保障事務局に提出する。
L3 および L3+ の場合、認証器ベンダー(実施者)は、FIDO 認定セキュリティラボラトリーを選択し、 セキュリティ評価を実施する。 認証器ベンダー(実施者)は、FIDO 認定セキュリティラボラトリーにマッピングテーブルを提出し、 承認された評価者がセキュリティテスト手順を実行する。 承認された評価者は、FIDO評価報告書を安全保障事務局に提出する。
報告書レビュー
認証器ベンダー(実施者)は、FIDO セキュリティ事務局または認定セキュリティラボラトリーが作成した FIDO 評価レポートを確認し、(実施者ダッシュボードを通じて)セキュリティ事務局に提出する。
L1については、承認されたベンダー質問書とFIDO評価報告書をセキュリティ事務局に提出しなければならない。
L2以上の場合、FIDO評価報告書のみを安全保障事務局に提出しなければならない。
認証器ベンダー(実施者)が認定依頼を完了する前に、FIDO 評価報告書がセキュリティ事務局により承認される必要がある。
認定発行
認証器ベンダー(実施者)は、FIDO に必要書類を提出する一環として、認定リクエストも提出する。 認定リクエストは、すべての要件が満たされていることを確認するため、認定事務局によって評価される。
認証器ベンダー(インプリメンター)は、証明書が発行される前に認証器認定料金を支払う必要がある。
商標の使用(オプション)
商標ライセンス契約(TMLA)を締結した後、認証器ベンダー(実施者)は、FIDO® 認定マークおよびロゴを製品、パッケージ、マーケティング資料に使用することができる。
データシートへのメタデータの提出(オプション)
認証器ベンダー(インプリメンター)には、FIDO メタデータ・サービス(MDS)にメタデータを提出するオプショ ンがある。
インプリメンター・ダッシュボード
認証器ベンダー(インプリメンター)は、ログインしてダッシュボードを表示できます。
