UIDAIのアーダール番号規制への準拠

以下の基準は、UIADAIの（認証ユーザーエージェンシー[AUA]/E-KYCユーザーエージェンシー[KUA]、認証サービスエージェンシー[ASA]、生体認証デバイスプロバイダー）向け規制、回覧およびガイドライン概要[大要]の2018年4月30日改訂版の「UIDAI情報セキュリティポリシー – UIDAI外部エコシステム – 認証ユーザーエージェンシー/KYCユーザーエージェンシー」セクションから抜粋したものです。

ユーザーアクセス制御

2.6 アクセス制御
1. 承認された個人のみが、UIDAI情報を処理する情報機能（認証アプリケーション、監査ログ、認証サーバー、アプリケーション、ソースコード、情報セキュリティインフラストラクチャなど）にアクセスできます

保存中・移動中データの暗号化

2.8 暗号化
1. 居住者の人口統計/生体認証データで構成される個人識別データ（PID）ブロックは、UIDAIが指定する最新のAPIドキュメントに従い、認証に使用されるエンドポイントデバイス（PoT端末など）によって暗号化されます

2. PIDは、AUA / KUAエコシステム内を転送・移動する際や、この情報をASAと共有する際に、暗号化された状態である必要があります

暗号鍵管理

2.8 暗号化
6. 鍵管理アクティビティは、ライフサイクル全体を通して鍵を保護するために、すべてのAUA / KUAによって実行されます。アクティビティは鍵管理の次のような側面に対応します。

a) 鍵の生成

b) 鍵の配布

c) 安全な鍵の保管

d) デュアルコントロールのための鍵の管理者と要件

e) 鍵の不正置換の防止

f) 侵害された、または侵害が疑われる鍵の交換

g) 鍵の失効、鍵管理関連アクティビティのロギング・監査

データベースアクセスのロギング

2.10 運用セキュリティ
12. AUA/KUAは、将来の調査とアクセス制御の監視をサポートするため、重要なユーザーアクティビティ、例外、セキュリティイベントを記録するイベントログを有効にし保存します。

13. 情報システムの不正使用に備え、監査ログの定期的な監視が行われ、結果が記録されます。承認された担当者のみが監査証跡とイベントログにアクセスできます

アーダール番号のトークン化

次のガイダンスは大要内の「Circular 11020/205/2017」から抜粋したものです。

アーダール番号を保存する上でのセキュリティレベルを強化するために、2016年アーダール法に基づき、特定の目的でアーダール番号を収集・保存するすべてのAUA/KUA/サブAUAおよびその他のエンティティは、すべてのシステムにおいて、トークン化を通してアーダール番号にマッピングされた参照鍵を使用することが義務付けられています。

(a) すべてのエンティティは、アーダール番号と、紐付けられているアーダールデータ（アーダール番号とデータを含むeKYC XMLなど）を、別の安全なデータベース/ボルト/システムに強制的に保存するように指示されます。このシステムは「アーダールデータボルト」と呼ばれ、アーダール番号と、紐付けられているアーダールデータは唯一この場所に保存されます。

(c) 各アーダール番号は、参照鍵と呼ばれる追加の鍵によって参照されます。参照鍵とアーダール番号のマッピングは、アーダールデータボルト内で維持されます。

(d) エンティティのあらゆるビジネスユースケースにおいて、参照鍵を保存/マッピングする必要があるすべてのシステム内では、アーダール番号の代わりに参照鍵を使用するものとします。つまり、ビジネストランザクションのためにアーダール番号の保存を必要とするすべてのテーブル/システムは、今後、参照鍵のみを維持する必要があります。実際のアーダール番号は、アーダールボルト以外のビジネスデータベースに保存しないでください。

FIPS 140-2認定HSMを使用した暗号鍵の保護

次のガイダンスも大要内の「Circular 11020/205/2017」から抜粋したものです。

(f) アーダールデータボルトに保存されたアーダール番号および紐付けられているデータは常に暗号化された状態に保たれ、厳格なアクセス制御により、承認されたシステムに対してのみデータへのアクセスを許可します。暗号化用の鍵は、HSMデバイス内にのみ保存されます。

コンプライアンスの概要

タレスのe-Securityは次の方法によって、UIDAIのアーダール番号規制のさまざまな要件に準拠できるようサポートします。

強力なアクセス管理と認証

タレスのアクセス管理および認証ソリューションは、データセキュリティ規制に準拠するために組織が必要とするセキュリティメカニズムとレポート機能の両方を提供します。当社ソリューションは、機密データが保存されたアプリケーションにユーザーがログインするときに適切なアクセス制御を適用することにより機密データを保護します。また、幅広い認証方法とポリシー主導の役割ベースのアクセスをサポートすることで、資格情報の侵害や盗難、または内部での資格情報の悪用によるデータ侵害のリスクを軽減します。

スマートシングルサインオンとステップアップ認証のサポートにより組織はエンドユーザーの利便性を最適化し、必要な場合にのみ認証を行うことができます。また、広範なレポートによりすべてのアクセスおよび認証イベントの詳細な監査証跡を作成できるため、企業はさまざまな規制への準拠が可能になります。

CipherTrust データセキュリティ プラットフォーム

タレスのCipherTrust データセキュリティ プラットフォームは、さまざまなOSプラットフォーム、データベース、クラウド環境、ビッグデータ環境において、企業の多様な要件の下で保存データを保護できるよう拡張可能な単一フレームワークを提供する唯一のデータ侵害セキュリティソリューションです。これにより総所有コストが削減され、シンプルかつ効率的な展開と運用が可能になります。

• CipherTrust 透過的暗号化はファイルやボリュームレベルの保存データの暗号化、安全な鍵管理、規制とコンプライアンス準拠に必要なアクセス制御を提供します。
• CipherTrust 鍵管理によりKMIP互換ハードウェア、OracleおよびSQL Server TDEマスター鍵、デジタル証明書を含む、さまざまな環境やデバイス用の暗号鍵を一元管理できます。
• CipherTrust セキュリティ インテリジェンスは進行中のインシデントを特定できるアクセスパターン情報を提供することにより、悪意のあるインサイダー、特権ユーザー、APT、データを危険にさらすその他の攻撃に対する優れた保護機能を提供します。
• CipherTrust アプリケーションデータ保護を利用することで、フィールドおよび列レベルで暗号化機能を内部アプリケーションに簡単に組み込むことができます。
• CipherTrust トークナイゼーションにより、セキュリティポリシーや、アーダールなどの規制上の義務に準拠するために必要なコストと労力が大幅に削減されます。このソリューションは、データベースのトークン化と動的な表示セキュリティ機能を提供します。これを使用することで管理者は、トークン化されたフィールド全体を元に戻すか、フィールドの一部を動的にマスキングするためのポリシーを確立することができます。このソリューションのフォーマット保持トークン化機能により、機密資産へのアクセスを制限すると同時に、多くのユーザーが仕事を行えるように保護されたデータをフォーマットできます。

タレスの高速暗号化プログラム

タレスの高速暗号化プログラム（HSE）は、ネットワークに依存しない移動中データの暗号化（レイヤー2、3、4）を実行し、サイト間、またはオンプレミスからクラウドへの安全なデータの移動を保証します。当社のHSEソリューションを使用することで、パフォーマンスを低下させることなく手頃なコストで、データ、ビデオ、音声、メタデータを盗聴や監視、また明白且つ秘密裡の傍受からより適切に保護できます。

FIPS 140-2認定Luna HSMによる暗号鍵の保護

タレスのLuna HSMは安全な暗号化処理、鍵の生成と保護、暗号化などを実現する強化された耐タンパ環境を提供します。3種類のFIPS 140-2認定フォームファクタで利用可能なLuna HSMは、さまざまな展開シナリオをサポートします。

さらにLuna HSMは次の機能を発揮します。

• ルート鍵と認証局（CA）用の鍵を生成・保護し、さまざまなユースケースでPKIをサポート
• アプリケーションコードに署名することで、ソフトウェアが安全で改ざんされておらず、本物であることを確認
• IoTアプリケーションやその他のネットワーク展開用の独自の電子デバイスを認証するためのデジタル証明書を作成