日本スマートフォンセキュリティ協会
1.はじめに
近年、公的な身分証がスマートフォン上のアプリケーションとして実装され、普及しようとしています。
2023年現在、EUでは欧州委員会がEuropean Digital Identity Wallet(EUDIW)(1)という公的なデジタル身分証の規格を策定中であり、Large Scale Pilots(LSPs)と呼ばれる大規模な実証実験の実施が計画されています。EUDIWでは、公共のサービスの利用、銀行の口座開設、モバイル運転免許証、電子署名等のユースケースが想定されています。
アメリカではいくつかの州でMobile driving license(mDL)仕様(2)に則ったモバイル運転免許証の運用(3)が始まっています。アメリカではモバイル運転免許証としての利用と合わせ、デジタル身分証として空港での身元確認用途での活用も評価(4)が開始されました。
日本では2023年5月にマイナンバーカードの電子証明書機能をスマホ上で利用できる、スマホ用電子証明書搭載サービス(5)がリリースされました。この電子証明書機能を利用することでマイナポータルを使ったオンライン申請や各種民間サービスがマイナンバーカードなしで利用可能となり、2024年からは健康保険証としての利用も計画されています。
2.デジタル身分証で用いられる国際標準規格と、そこで用いられるセキュリティ対策について
このような官民及び国家間での相互運用が求められる公的なデジタル身分証では、国際標準への準拠による相互運用性とセキュリティの確保が非常に重要になってきます。
デジタル身分証で活用される主な国際標準は以下となります。これらに準拠することで、国際的な互換性を担保していきます。
| 国際標準 | 概要 |
| ISO/IEC 23220 (6) | モバイルデバイス上で動作するデジタル身分証の規定 |
| ISO/IEC 18015-5 (2) | モバイル運転免許証の規定 |
| W3C Verifiable Credentials (7) | 自己主権型の検証可能なデジタル証明書の規定 |
| OpenID for Verifiable Credentials Issuance(8), OpenID for Verifiable Presentations (9) | Verifiable Credentialsの発行、検証を行うための規定 |
またこういったデジタル身分証を実装する際には、データの機密性、完全性の確保が課題となります。ここではISO/IEC 18015-5に基づくmDL仕様のセキュリティ対策を説明します。
下図がmDLのアクターになります。
これに対して、mDL全体のセキュリティ対策を示した図が下記です。
デジタル身分証に関しては、スマートフォンの画面に表示された画像だけでは簡単に偽造ができてしまいます。従ってmDLでは、mDL Readerと呼ばれる別デバイス上のアプリケーションを用いてその真贋の検証を行います。
その際、特に重要となる、mdocと呼ばれるデータ形式で格納された運転免許証データであるmDLデータの機密性、完全性の保持は、下の表中に示すmdoc認証や発行者データ認証、セッション暗号化を用いて実現されています。
またモバイル運転免許証アプリケーションの実装の際には、android OS、iOSの各モバイルOSが提供しているデジタル身分証情報を取り扱うAPIを活用することにより、スマートフォンが保持するセキュア領域にこれらの身分証情報を安全に格納することができます。
具体的にはAndroid OSに関してはidentity credential API(10)が、iOSに関しては先日、tap to present ID(11)というデジタル身分証をwalletに格納するためのwalletアプリケーションが発表されました。
以上、mDLで規定されているセキュリティメカニズムをご紹介しました。なお冒頭でご紹介しました日本のスマホ用電子証明書搭載サービスにおいてはさらに強固なセキュリティ対策が入っており、スマホ用電子証明書はGP-SEと呼ばれるより安全な領域に格納されています(5)。
3.終わりに
デジタル身分証の実用化は進んできており、身分証の単なるモバイルアプリケーション化に留まらず、スマートフォン上で動作していることを活用した様々なサービスが今後展開されることが予想されます。例えば下図のような、mDLを活用したタクシー乗務員の健康状態や日々の運転状況を可視化する実証(12)が行われています。
社会全体の利便性を向上するこのようなデジタル身分証を活用したアプリケーション開発において、セキュリティ、プライバシー対策の面で貢献していきたいと考えています。
(引用)
(1)The European Digital Identity Wallet Architecture and Reference Framework
https://digital-strategy.ec.europa.eu/en/library/european-digital-identity-wallet-architecture-and-reference-framework
(2)ISO/IEC 18013-5:2021 Mobile driving license(mDL)
https://www.iso.org/standard/69084.html
(3) AMERICAN ASSOCIATION OF MOTOR VEHICLE ADMINISTRATORS Mobile Driver License
https://www.aamva.org/topics/mobile-driver-license
(4) Transportation Security Administration When will the phased digital ID rollout start? Which airports/states will be first in line for this new technology?
https://www.tsa.gov/travel/frequently-asked-questions/when-will-phased-digital-id-rollout-start-which-airportsstates
(5)デジタル庁 スマホ用電子証明書搭載サービス
https://www.digital.go.jp/policies/mynumber/smartphone-certification
(6)ISO/IEC 23220-1:2023 Cards and security devices for personal identification
https://www.iso.org/standard/74910.html
(7)W3C Verifiable Credentials Data Model v1.1
https://www.w3.org/TR/vc-data-model/
(8) OpenID for Verifiable Credentials Issuance
https://openid.net/specs/openid-4-verifiable-credential-issuance-1_0.html
(9) OpenID for Verifiable Presentations
https://openid.net/specs/openid-4-verifiable-presentations-1_0.html
(10) Identity Credential API
https://developer.android.com/reference/android/security/identity/IdentityCredential
(11) What’s new in Wallet and Apple Pay
https://developer.apple.com/videos/play/wwdc2023/10114/
(12) 大和自動車交通、日本交通、NEC、運行管理の高度化に向けてデジタル技術を活用した実証を実施
https://jpn.nec.com/press/202304/20230427_02.html