スマートカードの準拠評価及びセキュリティ試験方法
準拠評価及びセキュリティ試験プロセス(1)は、種々のスマートカード製品がカード団体のセキュリティ・ガイドラインに準拠し、そしてカード団体のブランド名の下でスマートカード電子支払システムにおける使用を承認されることの保証を提供する。承認されれば、準拠の証明書が製品に割り当てられる。セキュリティ・ガイドラインは、新たなセキュリティの脅威及び攻撃のポテンシャルの進展が認識されると共に更新され、製品証明書もこれに応じて更新される。ベンダーのスマートカード製品においてセキュリティの脆弱性が発見されると、リスク分析を行ってこれらの脆弱性が許容不可能なレベルのリスクを会員銀行にもたらすか否かを判定する。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願のクロスリファレンス)
本願は、米国特許暫定出願番号60/602,293、2004年8月17日出願に基づいて優先権を主張し、この特許出願は参考文献として本明細書に含める。
【0002】
(発明の背景)
スマートカード技術は、我々の文化及び日常生活において急速に一般的になっている。スマートカードは、マイクロプロセッサ及びメモリー、またはプログラム可能でない論理回路を伴うメモリーチップのみのいずれかを埋め込んだカードである。マイクロプロセッサカードは、カード上に情報を追加、カード上の情報を消去、さもなければカード上の情報を操作することができるのに対し、メモリーチップカード(例えばプリペイド(前払い)型電話カード)は所定の動作しか行うことができない。従って、これらのカードは取引時点でリモート(遠隔)データベースにアクセスする必要はない。
【0003】
業界では一般に「マイクロプロセッサカード」または「チップカード」とも称されるスマートカードは、従来の磁気ストライプカードよりも大きいメモリー記憶及びセキュリティ(安全性)を提供する。スマートカードは、8キロバイトまでのRAM、346キロバイトまでのROM、256キロバイトまでのプログラマブルROM、及び16ビットのマイクロプロセッサを持つことができる。スマートカードはシリアル・インタフェースを使用し、そしてその電力をカードリーダのような外部電源から受ける。このプロセッサは、暗号化のようなアプリケーション用の限られた命令セットを用いる。スマートカードは種々の用途、特に大きな数の操作が要求される暗号化を組み込んだ用途に使用される。従って、スマートカードは、安全なディジタル・アイデンティティ(身元)を保持するカード用の主要な基盤(プラットフォーム)となっている。最も一般的なスマートカードの用途は:
クレジットカード
電子通貨
コンピュータのセキュリティシステム
無線通信
ロイヤリティーシステム(例えば利用が頻繁な航空旅客のポイント)
バンキング(銀行取引)
衛星テレビジョン
官公庁の身分証明書
【0004】
特定用途向けに設計したスマートカードは、独自のオペレーティングシステムを実行することができる。複数のアプリケーションを実行する能力を伴って設計されたスマートカードは通常、MULTOS(Multi-application Operating System:複数アプリケーション対応のカード用オペレーティングシステム)またはJavaCard(登録商標)を実行する。
【0005】
スマートカードは、電子通貨管理用の理想的な方法である。GoldKarte(登録商標)、Mondex(登録商標)、Chipper(登録商標)、Quick(登録商標)等を含む支払カードは、所定額の通貨をビットに変換し、これらのビットを直接、カードのメモリーに書き込むのに対し、Eurocard(登録商標)、Mastercard(登録商標)、Visa(登録商標)及びAmerican Express(登録商標)のようなクレジットカードは、カード保有者のデータ及びパスキー(合鍵)をSET(Secure Electronic Transactions:インターネットにおける電子決済方式)のようなプロトコルと共に使用して安全な支払を保証する。
【0006】
スマートカード上のマイクロプロセッサはセキュリティ用に存在する。ホストコンピュータ及びカードリーダは実際に、マイクロプロセッサに「話しかける」。マイクロプロセッサはカード上のデータへのアクセスを制御する。ホストコンピュータがスマートカードのランダムアクセスメモリ(RAM)を読出し及び書込みするならば、ディスケット(登録商標)と違いがない。
【0007】
セキュリティをもたらすこと、即ち、認可されたカード保有者による使用のみにアクセスの保証を与えることは、スマートカードの基本的な属性である。セキュリティをもたらすことにおけるスマートカードの有効性は、スマートカードが特に金融サービス及び移動電話においてこれほどまでに広く採用されており、スマートカードの成長が爆発的であり続け、そしてスマートカードの使用が他の用途、例えば個人用身分証明カード、健康、交通、及び有料TV/娯楽(エンターテインメント)へのアクセスに容易に拡張できるものと期待される理由の1つである。
【0008】
あらゆる分野におけるように、セキュリティ規格は現状に留まらない。不正な、倫理的な、または実験的な理由でセキュリティ保護を破ることを追求する者が常に存在する。あらゆる分野におけるように、想定される(そして想定されない)すべての状況に対する永久的なセキュリティの考えは恐らく実現不可能であり、そしてセキュリティの最終%割合とコストとの間にトレードオフ(二律背反)が存在することも真実である。
【0009】
現在、スマートカードの準拠評価及びセキュリティ試験が考察されている。スマートカードの解決法(ソリューション)におけるすべての構成要素、即ちチップ、カード、オペレーティングシステム及びアプリケーション・ソフトウェア、端末、及びカードの個人化、ネットワーク・インタフェースの検証及び端末の統合が注目されている。特に、市場に出ているかあるいはカード団体によって展開されたすべての種類の電子支払カードに共通のリスク(危険)評価及びセキュリティ保証システム及び方法が注目されている。
【0010】
(発明の概要)
本発明は、ベンダー(販売者)のスマートカード製品がカード団体のセキュリティ・ガイドライン(指針)に準拠し、そしてカード団体のブランド(銘柄)名の下でスマートカードの電子支払システムにおける使用を承認されていることを証明するための準拠評価及びセキュリティ試験プロセスを提供する。セキュリティ・ガイドラインは、新たなセキュリティの脅威及び攻撃のポテンシャルの進展が認識されると共に更新され、そして製品証明書もこれに応じて更新される。ベンダーのスマートカード製品におけるセキュリティに脆弱性が発見されると、リスク分析を行って、この脆弱性が会員(メンバー)の銀行にとって許容可能なレベルのリスクをもたらすか許容不可能なレベルのリスクをもたらすかを判定する。リスク分析報告書(レポート)を用意して会員銀行が利用することができる。
【0011】
準拠評価及びセキュリティ試験プロセスは、その形状因子またはベンダーにかかわらず、すべての種類のスマートカードに適用可能である。試験プロセスを用いて、スマートカード電子支払システムにおいて展開された各ブランドのスマートカード製品の類型を、カード団体のセキュリティ要求に適合させることができる。
【0012】
準拠評価及びセキュリティ試験プロセスは、カード団体が製品のベンダーと協力して行うことができる。カード団体は、脅威、攻撃、及びスマートカード業界におけるセキュリティの進展を絶えず監視し、これに応じてスマートカード製品用のセキュリティ・ガイドラインを更新することができる。更新されたセキュリティ・ガイドラインは製品ベンダーに提供され、これにより、ベンダーは適合したスマートカード製品を設計及び作製することができる。ベンダー製品を試験して、ベンダーが製品の設計において脅威を考慮に入れているか否かを判定する。合格あるいは準拠製品には準拠の証明書を発行することができる。許容可能または受忍可能な脆弱性を有するものと考えられる製品には条件付準拠証明書を発行することができる。許容不可能な脆弱性を有するものと考えられる製品は準拠証明書を拒否される。以前に証明された製品は、新たに認識された脅威、攻撃、及びリスクに応じてセキュリティ・ガイドラインが更新されると共に、再試験して最証明することができる。
【0013】
本発明のさらなる特徴、性質、及び種々の利点は、以下の図面を参照した実施例の詳細な説明より一層明らかになる。
【0014】
(実施例の詳細な説明)
本発明は、ベンダーのスマートカード製品が、電子支払業界における安全な使用に適合するかあるいは承認されることを証明するための準拠評価及びセキュリティ試験(CAST:Compliance Assessment and Security Testing)の解決法または証明プロセスを提供する。CASTの解決法は、業界全体に共通のチップカード仕様(例えばEMV(Europay Mastercard Visa、登録商標)Integrated Circuit Card Specifications(EMV集積回路カード仕様)に準拠したスマートカード製品に適用することができ、これらの製品は、場所、金融機関、または製造業者にかかわらず、すべてのチップカードがすべてのチップ読取り端末で動作することを保証するように設計されている。CASTの解決法は多数の関係者をカバーし、例えば電子支払方法のプロバイダ(提供者)またはカード団体(例えばマスターカード(登録商標)社)、カードベンダー及び製造業者、及びカード発行者及びアクワイアラ(加盟店契約/管理会社)(例えば会員銀行)をカバーし、これらの当事者はスマートカード電子支払システムの実現に関与することができる。
【0015】
図2に示す1つの応用では、CASTの解決法を、カード団体のブランド名(例えばマスターカード)の下での展開またはマーケティング(市場戦略)を意図したベンダーのスマートカードに適用する。十分な確実性が実証され、悪用され得る脆弱性が発見されなかった場合には、カード団体は製品のCAST証明番号をベンダーに対して発行することができる。脆弱性が発見されると、さらなる分析を行って、この脆弱性が許容不可能なリスクを会員銀行にもたらすか否かを判定することができる。発見された脆弱性が許容不可能なレベルのリスクをもたらさない場合には、カード団体は製品の条件付CAST証明書をベンダーに対して発行することができる。
【0016】
CASTの解決法は、すべての種類のスマートカード製品に適用可能である。CASTの解決法は、形状因子またはベンダーにかかわらず、スマートカード電子支払システムにおいて使用される各ブランドのスマートカード製品がカード団体のセキュリティ要求に適合することを保証する。
【0017】
CASTの解決法は、スマートカード業界の構造を反映するように設計され、その構成要素であるスマートカード製品の供給者(サプライヤー)間の関係、その開発プロセス間の関係、及びチップへの移行が現在進行中であることを考慮に入れる。さらに、CASTの解決法は、スマートカード業界におけるセキュリティ評価法の最新の開発を反映し、そして独立した評価を内部セキュリティ試験と結び付ける。この柔軟性(フレキシビリティ)は、カード団体(例えばマスターカード社)が、ベンダーにとっての金銭的負担を最小化しつつ高いレベルのセキュリティ保証を維持することを可能にする
【0018】
CASTの解決法は、カード団体がスマートカードの品質保証または証明のために利用することのできる他の解決法(例えばマスターカード社のCard Type Approval program for smart card conformance to M/Chip technical specifications(スマートカードのM/チップ技術仕様への適合用のカードタイプ承認プログラム)、Card Quality Management(CQM) program for card quality assurance and reliability(カード品質の保証及び信頼性のためのカード品質管理プログラム)、及びBureau Certification program for receiving logical security requirements at chip personalizers(チップ個人化装置において論理的セキュリティ要求を受け取るための事務所証明プログラム))と相補的であり、そして他の解決法と共に用いることができる。
【0019】
カード団体は、カードの形状因子及びベンダーにかかわらず、CASTの解決法を各スマートカードの実現の義務的評価に用いることができる。ブランド付きのスマートカードの各構成要素(例えば集積回路またはチップ、オペレーティングシステム(OS)及びアプリケーション)を評価する。
【0020】
CASTの解決法は、スマートカードが、集積回路上に構築されたオペレーティングシステム上に築かれたアプリケーションの複合体であることを認識する。CASTの解決法のプロセスは、異なるレベルの証明を与えることによって、このことを反映する。CASTの解決法は、2つの主要グループまたはレベルの証明可能な製品、即ち集積回路(IC)及び集積回路カード(ICC)に適用可能である。図1を参照しながら説明する。図では、これらの証明可能な製品のグループの各々を、CASTの解決法が一組の構成要素を含むように示す。証明可能なIC製品は例えば、ICコア及びメモリー構成要素を含むものとして示す。証明可能なICC製品は、オペレーティングシステム及びアプリケーションの構成要素を追加的に含むものとして示す。類似した一組の製品の変形、例えば種々のメモリー構成を有するICコアは、証明を受ける単一製品として評価し、そしてCASTの解決法による単一の証明書によってカバーすることができる。
【0021】
IC製品の評価のために、CASTの解決法は、スマートカード製品に用いられる実際の集積回路を考慮する。CASTの解決法は、リバースエンジニアリング(逆行分析、分解調査)、情報漏洩、及び欠陥の導入のような脅威を含む既知の攻撃方法に有効に対処するように設計されたICコア構成要素のセキュリティ機能における高度な保証を求められ得る。CASTの解決法は、製品設計、開発、及び配送プロセスのセキュリティを考慮に入れる。CASTの解決法は、ベンダーによって既に実行された評価作業を有利に活用し、この評価作業は、カード団体による(例えばマスターカード社のinternal Analysis Laboratory(内部分析機関)(MCAL)による)追加的な外部評価または内部評価によって補うことができうる。
【0022】
ICC製品の評価(即ちカード評価)のために、CASTの解決法は、オペレーティングシステムを開発するカード製造業者のセキュリティを評価する。評価される重要な特徴は、カード製造業者がチップのセキュリティ上に積み重ねてスマートカードのセキュリティ全体を提供する方法である。さらに、製品カードの証明用のCASTの解決法は、MULTOSまたはJavaCardオペレーティングシステムのような仮想マシンの特定要求を考慮することができる。こうしたオペレーティングシステムの性質は、スマートカードのセキュリティを保証するために緻密な評価を必要とする。CASTの解決法は次のことを含むことができる:(1)実現が仕様に適合し既知の弱さを含まないことを検証するための、プラットフォームの論理試験、(2)実現が潜在的な弱さに対する対策を有することを保証するための、プラットフォームの物理的な侵入試験、及び(3)を仕様への適合及び既知の脆弱性に対する防御を検証するための、アプリケーションのローディング・メカニズム(ロード機構)、例えばGlobal Platform(グローバル・プラットフォーム(登録商標))の試験。
【0023】
ICC製品の証明のためのCASTの解決法は、アプリケーション構成要素の評価も含む。アプリケーション評価は、IC及びICC製品中のオペレーティングシステム構成要素の評価と共に、あるいはICの評価後のいずれかに限って実行する。アプリケーションは、対応するIC及びカード上に実現したオペレーティングシステムなしでは評価しない。アプリケーションの評価のために、CASTの解決法はアプリケーションの開発者を評価し、そして開発されたアプリケーションが、チップのセキュリティ及びオペレーティングシステムの設計者のガイドラインに従うことを保証する。CASTの解決法は、高いレベルの確実性を保証するための(例えばMChip(Mチップ)を含む)金融アプリケーションの実現調査を含む。これらの調査はコード調査及び侵入試験を含む。独自のオペレーティングシステムまたは仮想マシンを有する2つ以上のアプリケーションがカード上に存在する際には、これらのアプリケーション間のファイアウォール及び/またはオブジェクト共用がないことを実証するための保証が追求される。リスク評価は一部のアプリケーションに対して行うこともできる。リスク評価は、カード外の構成要素がセキュリティプロセスにおいて重要な役割を果たす場合には、カード外の構成要素の統合を含むことができる。
【0024】
CASTの解決法では、製品のセキュリティ保証はセキュリティ評価によって得られ、セキュリティ評価は、信頼できる外部評価機関がカード団体のセキュリティ・ガイドライン(例えばマスターカード社のセキュリティ・ガイドライン)及び/または外部で開発した試験ツールを用いて実行することができる。カード団体は、ベンダーまたは会員によって実行された以前の作業を活用することができる。カード団体は、Common Criteria(共通基準)のような一部の公式な評価方式において用いられる方法を認識することができるが、完全な評価報告書のみをこうしたものの証拠として受け取ることもできる。
【0025】
CASTの解決法は、カード団体と製品ベンダーとの間の協力を反映し、そして評価作業において費やされる不要なコスト及び時間を最小化することを追求する。カード団体は、CASTの解決法を自分自身の内部R&D(研究開発)プログラムでサポート(支援)して、外部機関及びベンダーとの親密な関係を維持しつつ、脅威及び防御の最適な意識を保証する
【0026】
CASTの解決法の出力は、チップのベンダーからカードの製造業者を通って会員銀行に至る単一の承認経路を識別する連鎖を保証することであり、当てはまれば、独立したアプリケーションの開発者を含む。スマートカード製品のベンダーは、自分の製品がCASTの解決法によって評価され、カード団体のセキュリティ・ガイドラインに合うものとして承認されたことの証拠として、CAST証明番号を会員銀行に提供することを要求され得る。ベンダーの製品に潜在的なセキュリティの欠陥または脆弱性が見つかった場合には、CASTの証明は授与されない。ベンダーは、あらゆるこうしたセキュリティの欠陥または脆弱性の詳細を十分に提供されることができる。カード団体はベンダーと共に作業して、スマートカードの発行者に潜在的なセキュリティの欠陥または脆弱性を適切に知らせて、これによりこれらのリスクまたは露呈を適切に評価することができる。さらに、カード団体はベンダーと共に作業して、脆弱性を減らす改良製品を導入する計画を導入することができる。
【0027】
スマートカードにおいて一般に展開されている電子支払アプリケーション(例えばマスターカード社のMchip Application)は、多くのリスク管理方策を可能にする。リスク管理方策は、支払アプリケーション仕様(例えばMchip Specifications)及び/またはEMV社によって発行されているEMV Security Guidelinesのような業界のガイドライン中に詳記することができる。これらのリスク管理方策はCASTの解決法によって補足または拡張することができ、CASTの解決法はスマートカードのセキュリティ評価をベンダーの製品設計及び開発プロセスの必要な部分とすることができる。ベンダーが製品を販売する際には、ベンダーは、CASTの解決法の保証及び試験プロセスを満足するために実行した試験を説明することを要求され得る。
【0028】
CASTの解決法におけるセキュリティの試験は、新たなセキュリティの脅威及び攻撃のポテンシャルの進展が認識されると共に、絶えず適時に更新することができる。CASTの解決法における試験のレベルを絶えず上げて、「現在技術状況」における攻撃のポテンシャルを反映することができる。結果的に、新たに証明されたスマートカード製品は常に、最新の脅威に対して、以前の保証よりも高いレベルの保護を提供する。会員銀行または発行者は、製品が新たなセキュリティの脅威に対して安全であるか否かについての情報のために、ベンダーのスマートカード製品のCAST証明書の日付をチェックすることができる。CASTの解決法は、電子支払業界が攻撃者の一歩先に留まることを有利に可能にする。
【0029】
CASTの解決法は、完全なセキュリティのようなものは存在しないことを認識している。スマートカード上の一次的な資産は秘密鍵(シークレットキー)及びPIN(Personal Identification Number:個人識別番号)である。二次的な資産は、セキュリティ・カウンタ(例えばApplication Transaction Counter(アプリケーション取引カウンタ))のようなパラメータを含む。十分高い作業機能(手腕、製品及び時間)を伴う攻撃は、カードのセキュリティを破りスマートカード上の一次的資産及び二次的資産にアクセスすることに十分成功し得る。CASTの解決法は、これらの意味の脆弱性を識別して、会員銀行または発行者用の適切なシステム・リスク分析に適合するように設計されている。
【0030】
会員銀行または発行者は、脆弱性のすべてのレベルにおける防御を含めることによって、安全なスマートカード支払システムを開発または実現することができる。発行者は、防止、検出及び復旧の戦略を開発することができる。攻撃者は、顕示または見返りのいずれかの願望によって動機付けられ得る。会員銀行または発行者は、いずれかの動機の攻撃者のための事件管理手順を計画し、そしてリスク/見返りの式(算段)が攻撃者に味方することを防止するための適切なセキュリティ方策を実現することができる。
【0031】
ベンダーの製品がCAST証明書を受けていない場合には、ベンダーは、CAST証明書がない理由を説明する立場におかれ得る。ベンダーは、発行者の実現計画に対する潜在的なリスクについてのガイダンス(指針)を提出することができる。リスクは時として、他のセキュリティ方策によって、会員銀行または発行者にとって許容可能なレベルに軽減することができる。
【0032】
図2に、カード団体(例えばマスターカード社)によって実現されるCASTの解決法200において展開される好適なプロセスの組を示す。CASTの解決法200は、会員銀行が、自分のスマートカードのプログラムまたは実現について知識ベースのリスク評価を実行可能にし、そして金融取引のセキュリティの保証における調和のとれた絶え間ない改善を促進するように設計することができる。CASTの解決法200は、現在技術状況のセキュリティ機能を有するベンダーの製品を目立たせるように設計する。
【0033】
CASTの解決法200において、ステップ202では、カード団体に関連する分析機関が脅威、及びスマートカード業界におけるセキュリティの進展を絶えず監視する。分析機関はこの監視行動を絶えず独自で、及び/または他のセキュリティ機関と共同で行うことができる。分析機関は、新たな脅威、攻撃、及びセキュリティ評価法を識別するための研究開発を行うことができる。
【0034】
分析機関は、その脅威及びセキュリティの監視に関する結果、及び安全なスマートカード製品についての更新可能な情報を含むセキュリティ・ガイドラインにおけるR&D(研究開発)行動を組み入れ、セキュリティ監視を処理することができる。セキュリティ・ガイドラインは、製品の種類(例えばICの設計ガイドライン、オペレーティングシステムの設計ガイドライン、及びアプリケーションの設計ガイドライン)によってグループ分けすることができる。カード団体はセキュリティ・ガイドラインを維持して、スマートカード製品の設計のための最新のガイダンス(手引き)をベンダーに提供することができる。ステップ204では、セキュリティ・ガイドラインをベンダーに与えてベンダーが自分のスマートカード製品を開発することを手助けし、かつ/あるいは、外部の試験機関に与えて試験機関がCASTの解決法の枠組み(フレームワーク)内でスマートカード製品を評価することを手助けする。
【0035】
ステップ206では、ベンダーが、カード団体によって提供されたガイドラインに従って自分のスマートカード製品を設計することができる。次に、CASTの解決法200における「製品を試験して証明する」ステップ208では、ベンダーの製品、及び適切であれば関係するプロセスを評価して、ベンダーが製品の設計において脅威及び攻撃を適切に考慮に入れているか否かを判定する。評価は詳細な試験及び証明プロセス300を含み、これを図3に示す。ステップ208における評価の結果として、カード団体はベンダーの製品についての証明書または条件付証明書を発行することができる。ステップ208において残された脆弱性が発見されない場合には、カード団体はCAST証明書を発行する。ステップ208において残された脆弱性が発見された場合には、カード団体は、発見された脆弱性が管理可能なリスクまたは許容可能なリスクをもたらすことがリスク分析によって示された場合には、条件付CAST証明書を発行することができる。リスク分析はステップ208において実行することができる(図3のプロセス300参照)。
【0036】
カード団体によって発行された証明書は、証明書上で識別される販売者の製品がCAST評価を受け、そして残されて発見された脆弱性についてのリスク分析が実行されたことを確証することができる。カード団体は、こうしたCAST証明書が条件付であることを公表することができる。その結果、ベンダーは、リスク分析報告書に含まれる情報を、条件付CAST証明書によってカバーされる製品をベンダーが売り込む会員銀行(及び他の関係者)に開示することを強いられ得る。この開示は、ベンダーの顧客が残されたリスクを自分のリスク評価に収めることができることを保証し、そして顧客がこれらの残されたリスクに対する十分な対策を自分の電子支払システムに導入することができるために必要となり得る。
【0037】
CASTの解決法200は随意的なセキュリティ監視ステップ209を含むことができ、ステップ209では、カード団体が継続的なプロセスを動作させて、証明された製品を新たに識別された攻撃及びリスクに対してチェックして、十分なリスク管理を保証する。適切または必要であれば、カード団体は、CAST証明された製品を持つベンダーに、証明された製品の新たに発見された脆弱性について情報提供ことができる。このことは、ベンダーがリスクを排除して自分の顧客のリスク管理プログラムをサポートすることを可能にする。
【0038】
図3に、CASTの解決法200におけるステップ206において使用することのできる試験及び証明プロセス300の好適なステップを示す。スマートカード製品の実現に関与または関連する種々の関係者は、カード団体、製品のベンダー、及び外部及び内部の機関を含めて、プロセス300の各ステップを実行することができる。図3は、実行する各ステップの役割、並びに必要な書式、及びプロセス(処理)ステップ毎の結果的な、あるいは必要な文書を示す。
【0039】
図3に示すように、予備ステップ312では、カード団体及びベンダーは秘密保持契約に署名することができる。このプロセスステップの結果として、両方の当事者がCAST契約書式(302)の署名されたバージョン(版)(336)を受け取ることができる。ステップ314では、ベンダーは、CAST評価を意図した製品についての詳細及びこれに関係する管理情報をカード団体に提供することができる。CAST登録の詳細(338)は、標準的なCAST登録書式304を完成させることによって提供することができる。ステップ316では、ベンダー及びカード団体は、完成したCAST登録書式338に基づいて初期の打合せを行って、評価プロセス及びその基になる情報の共通の理解に達することができる。ベンダーは、製品に対して既に実行したセキュリティ評価についての事前の証拠を提出することができ、従って、カード団体は効率的な初期の打合せの準備をすることができる。
【0040】
ステップ318では、開始プロセス200または300の前にまだ完成していなければ、ベンダーは製品の設計を仕上げるか、あるいは、公表されたCASTガイドライン306(例えば図2のステップ204参照)から導出した要求に対する応答として製品に変更を加えることができる。ステップ318では、プロセスはさらに、製品及びその基になる開発及び生産プロセスのセキュリティ性能の自己評価または第三者(サードパーティ)の評価を実行または修正することを含むことができる。また、ステップ318では、ベンダーは製品設計の文書化(ドキュメンテーション)308及び製品サンプル310を試験用に提供することができる。
【0041】
これに応答して、ステップ320では、カード団体は、提出されたベンダーの製品310を試験するための機関を選択し、そして必要な評価の詳細を決定することができる。ステップ320は、必要な評価の詳細について合意するためのベンダーとカード団体との間の打合せを含むこともできる。この詳細は、義務的な評価のリスト及び利用する機関の選択を含むことができる。ステップ320は、カード販売者または第三者によって既に実行された製品のセキュリティ評価についての既存の証拠の、カード団体による調査を含むことができる。ベンダー及びカード団体は、ベンダーによって行われる事前作業の必要性を考慮に入れることについて合意することができる。しかし、カード団体は、CASTの解決法の範囲内でどの評価の最小組が必要であると考えられるかについての最終決定を覆すことができる。
【0042】
ステップ320は、ベンダーとカード団体とが、製品が評価に備えて十分に成熟していることについて合意した後のステップ316後の適切な時点で実行することができる。ステップ320の完了時に、購入注文342を選択した試験機関に出し、最小評価の詳細を文書化することができる(340)。
【0043】
次に、ステップ322では、選択した機関が、ベンダーの製品及びその基盤の必要な評価(340)を実行することができる。選択した機関によって実行される評価は、製品サンプルの物理的試験、設計文書化及び/またはベンダーの開発及び生産プロセスの検査を含むことができる。ステップ324では、選択した機関が、結果を文書化した機関の評価報告書をカード団体に直接、あるいはベンダー経由で提出することができる。
【0044】
ステップ326では、カード団体が提出された機関の評価報告書を有効確認する。カード団体は機関の評価報告書を厳密に調べることができ、そしてさらなる評価を要求することがあり、この場合には、プロセス300は、機関の選択及び評価の詳細のステップ320に戻ることができる。ステップ316において、機関の評価報告書が十分な保証を提供するものとカード団体が考える場合には、カード団体はCASTの総括報告書(348)を用意することができる。脆弱性が発見された場合には、残存脆弱性報告書(350)を総括報告書348の一部として用意することができる。
【0045】
さらに、ステップ326における機関の評価報告書の厳密な調査に基づいて、発見された脆弱性のリスク分析をステップ328において実行することができる。ベンダーとカード団体とは、リスク分析のステップ328を個別に、あるいは合同で実行することができる。リスク分析に応じて、ベンダーは発見された脆弱性を修正して新たなサンプルまたは製品バージョンを(例えばステップ320における)再評価用に提出することを選ぶことができる。
【0046】
ステップ326において残された脆弱性が発見され、そしてベンダーがこれらの脆弱性を修正しないことを決めた場合には、ベンダー及びカード団体は合同でリスク分析報告書(352)を用意することができる。リスク分析報告書352は、ベンダーの製品の使用を考えているカード団体の会員銀行のためのリスク情報を含む。カード団体は、リスク分析報告書352の内容に関するベンダーの希望を理解し考慮に入れようとすることができる。しかし、カード団体は、リスク分析報告書352の内容についての最終的な権限を留保しなければならず、これにより、カード団体は、当該団体の会員銀行に対する、ベンダーのスマートカード製品の有効なリスク評価についての信頼できる情報を提供する義務を遂行することができる。
【0047】
カード団体がステップ328によって、十分な保証が実証され、そして見出し得る脆弱性は発見されていないものと結論付けた場合には、ステップ334において、カード団体は製品についてのCAST証明書(354)をベンダーに対して発行することができる。カード団体が、発見された脆弱性がリスク分析報告書352によって十分にカバーされ、会員銀行にとって管理不能または許容不可能なリスクを構成しないものと結論付けた場合には、カード団体は製品についての条件付CAST証明書をベンダーに対して発行することができる。この証明書は、会社製品の登録詳細(330または338)とすることができ、そして処理及び電子送達における利便性のために電子テンプレート(322)を使用することができる。カード団体はCAST証明書を発行しない権利を留保することができる。
【0048】
以上の説明は本発明の原理の例示に過ぎず、当業者が本発明の範囲を逸脱することなしに種々の変形を加え得ることは明らかである。
【図面の簡単な説明】
【0049】
【図1】本発明の原理による準拠評価及びセキュリティ試験の解決法を用いて認定することのできる2つのカード製品の構成要素の概略図である。
【図2】本発明の原理による、スマートカード製品用の準拠評価及びセキュリティ試験の解決法の好適なサブプロセスを例示するフロー図である。
【図3】本発明の原理による、スマートカード製品用の準拠評価及びセキュリティ試験の解決法における好適なステップを例示するフロー図である。
【技術分野】
【0001】
(関連出願のクロスリファレンス)
本願は、米国特許暫定出願番号60/602,293、2004年8月17日出願に基づいて優先権を主張し、この特許出願は参考文献として本明細書に含める。
【0002】
(発明の背景)
スマートカード技術は、我々の文化及び日常生活において急速に一般的になっている。スマートカードは、マイクロプロセッサ及びメモリー、またはプログラム可能でない論理回路を伴うメモリーチップのみのいずれかを埋め込んだカードである。マイクロプロセッサカードは、カード上に情報を追加、カード上の情報を消去、さもなければカード上の情報を操作することができるのに対し、メモリーチップカード(例えばプリペイド(前払い)型電話カード)は所定の動作しか行うことができない。従って、これらのカードは取引時点でリモート(遠隔)データベースにアクセスする必要はない。
【0003】
業界では一般に「マイクロプロセッサカード」または「チップカード」とも称されるスマートカードは、従来の磁気ストライプカードよりも大きいメモリー記憶及びセキュリティ(安全性)を提供する。スマートカードは、8キロバイトまでのRAM、346キロバイトまでのROM、256キロバイトまでのプログラマブルROM、及び16ビットのマイクロプロセッサを持つことができる。スマートカードはシリアル・インタフェースを使用し、そしてその電力をカードリーダのような外部電源から受ける。このプロセッサは、暗号化のようなアプリケーション用の限られた命令セットを用いる。スマートカードは種々の用途、特に大きな数の操作が要求される暗号化を組み込んだ用途に使用される。従って、スマートカードは、安全なディジタル・アイデンティティ(身元)を保持するカード用の主要な基盤(プラットフォーム)となっている。最も一般的なスマートカードの用途は:
クレジットカード
電子通貨
コンピュータのセキュリティシステム
無線通信
ロイヤリティーシステム(例えば利用が頻繁な航空旅客のポイント)
バンキング(銀行取引)
衛星テレビジョン
官公庁の身分証明書
【0004】
特定用途向けに設計したスマートカードは、独自のオペレーティングシステムを実行することができる。複数のアプリケーションを実行する能力を伴って設計されたスマートカードは通常、MULTOS(Multi-application Operating System:複数アプリケーション対応のカード用オペレーティングシステム)またはJavaCard(登録商標)を実行する。
【0005】
スマートカードは、電子通貨管理用の理想的な方法である。GoldKarte(登録商標)、Mondex(登録商標)、Chipper(登録商標)、Quick(登録商標)等を含む支払カードは、所定額の通貨をビットに変換し、これらのビットを直接、カードのメモリーに書き込むのに対し、Eurocard(登録商標)、Mastercard(登録商標)、Visa(登録商標)及びAmerican Express(登録商標)のようなクレジットカードは、カード保有者のデータ及びパスキー(合鍵)をSET(Secure Electronic Transactions:インターネットにおける電子決済方式)のようなプロトコルと共に使用して安全な支払を保証する。
【0006】
スマートカード上のマイクロプロセッサはセキュリティ用に存在する。ホストコンピュータ及びカードリーダは実際に、マイクロプロセッサに「話しかける」。マイクロプロセッサはカード上のデータへのアクセスを制御する。ホストコンピュータがスマートカードのランダムアクセスメモリ(RAM)を読出し及び書込みするならば、ディスケット(登録商標)と違いがない。
【0007】
セキュリティをもたらすこと、即ち、認可されたカード保有者による使用のみにアクセスの保証を与えることは、スマートカードの基本的な属性である。セキュリティをもたらすことにおけるスマートカードの有効性は、スマートカードが特に金融サービス及び移動電話においてこれほどまでに広く採用されており、スマートカードの成長が爆発的であり続け、そしてスマートカードの使用が他の用途、例えば個人用身分証明カード、健康、交通、及び有料TV/娯楽(エンターテインメント)へのアクセスに容易に拡張できるものと期待される理由の1つである。
【0008】
あらゆる分野におけるように、セキュリティ規格は現状に留まらない。不正な、倫理的な、または実験的な理由でセキュリティ保護を破ることを追求する者が常に存在する。あらゆる分野におけるように、想定される(そして想定されない)すべての状況に対する永久的なセキュリティの考えは恐らく実現不可能であり、そしてセキュリティの最終%割合とコストとの間にトレードオフ(二律背反)が存在することも真実である。
【0009】
現在、スマートカードの準拠評価及びセキュリティ試験が考察されている。スマートカードの解決法(ソリューション)におけるすべての構成要素、即ちチップ、カード、オペレーティングシステム及びアプリケーション・ソフトウェア、端末、及びカードの個人化、ネットワーク・インタフェースの検証及び端末の統合が注目されている。特に、市場に出ているかあるいはカード団体によって展開されたすべての種類の電子支払カードに共通のリスク(危険)評価及びセキュリティ保証システム及び方法が注目されている。
【0010】
(発明の概要)
本発明は、ベンダー(販売者)のスマートカード製品がカード団体のセキュリティ・ガイドライン(指針)に準拠し、そしてカード団体のブランド(銘柄)名の下でスマートカードの電子支払システムにおける使用を承認されていることを証明するための準拠評価及びセキュリティ試験プロセスを提供する。セキュリティ・ガイドラインは、新たなセキュリティの脅威及び攻撃のポテンシャルの進展が認識されると共に更新され、そして製品証明書もこれに応じて更新される。ベンダーのスマートカード製品におけるセキュリティに脆弱性が発見されると、リスク分析を行って、この脆弱性が会員(メンバー)の銀行にとって許容可能なレベルのリスクをもたらすか許容不可能なレベルのリスクをもたらすかを判定する。リスク分析報告書(レポート)を用意して会員銀行が利用することができる。
【0011】
準拠評価及びセキュリティ試験プロセスは、その形状因子またはベンダーにかかわらず、すべての種類のスマートカードに適用可能である。試験プロセスを用いて、スマートカード電子支払システムにおいて展開された各ブランドのスマートカード製品の類型を、カード団体のセキュリティ要求に適合させることができる。
【0012】
準拠評価及びセキュリティ試験プロセスは、カード団体が製品のベンダーと協力して行うことができる。カード団体は、脅威、攻撃、及びスマートカード業界におけるセキュリティの進展を絶えず監視し、これに応じてスマートカード製品用のセキュリティ・ガイドラインを更新することができる。更新されたセキュリティ・ガイドラインは製品ベンダーに提供され、これにより、ベンダーは適合したスマートカード製品を設計及び作製することができる。ベンダー製品を試験して、ベンダーが製品の設計において脅威を考慮に入れているか否かを判定する。合格あるいは準拠製品には準拠の証明書を発行することができる。許容可能または受忍可能な脆弱性を有するものと考えられる製品には条件付準拠証明書を発行することができる。許容不可能な脆弱性を有するものと考えられる製品は準拠証明書を拒否される。以前に証明された製品は、新たに認識された脅威、攻撃、及びリスクに応じてセキュリティ・ガイドラインが更新されると共に、再試験して最証明することができる。
【0013】
本発明のさらなる特徴、性質、及び種々の利点は、以下の図面を参照した実施例の詳細な説明より一層明らかになる。
【0014】
(実施例の詳細な説明)
本発明は、ベンダーのスマートカード製品が、電子支払業界における安全な使用に適合するかあるいは承認されることを証明するための準拠評価及びセキュリティ試験(CAST:Compliance Assessment and Security Testing)の解決法または証明プロセスを提供する。CASTの解決法は、業界全体に共通のチップカード仕様(例えばEMV(Europay Mastercard Visa、登録商標)Integrated Circuit Card Specifications(EMV集積回路カード仕様)に準拠したスマートカード製品に適用することができ、これらの製品は、場所、金融機関、または製造業者にかかわらず、すべてのチップカードがすべてのチップ読取り端末で動作することを保証するように設計されている。CASTの解決法は多数の関係者をカバーし、例えば電子支払方法のプロバイダ(提供者)またはカード団体(例えばマスターカード(登録商標)社)、カードベンダー及び製造業者、及びカード発行者及びアクワイアラ(加盟店契約/管理会社)(例えば会員銀行)をカバーし、これらの当事者はスマートカード電子支払システムの実現に関与することができる。
【0015】
図2に示す1つの応用では、CASTの解決法を、カード団体のブランド名(例えばマスターカード)の下での展開またはマーケティング(市場戦略)を意図したベンダーのスマートカードに適用する。十分な確実性が実証され、悪用され得る脆弱性が発見されなかった場合には、カード団体は製品のCAST証明番号をベンダーに対して発行することができる。脆弱性が発見されると、さらなる分析を行って、この脆弱性が許容不可能なリスクを会員銀行にもたらすか否かを判定することができる。発見された脆弱性が許容不可能なレベルのリスクをもたらさない場合には、カード団体は製品の条件付CAST証明書をベンダーに対して発行することができる。
【0016】
CASTの解決法は、すべての種類のスマートカード製品に適用可能である。CASTの解決法は、形状因子またはベンダーにかかわらず、スマートカード電子支払システムにおいて使用される各ブランドのスマートカード製品がカード団体のセキュリティ要求に適合することを保証する。
【0017】
CASTの解決法は、スマートカード業界の構造を反映するように設計され、その構成要素であるスマートカード製品の供給者(サプライヤー)間の関係、その開発プロセス間の関係、及びチップへの移行が現在進行中であることを考慮に入れる。さらに、CASTの解決法は、スマートカード業界におけるセキュリティ評価法の最新の開発を反映し、そして独立した評価を内部セキュリティ試験と結び付ける。この柔軟性(フレキシビリティ)は、カード団体(例えばマスターカード社)が、ベンダーにとっての金銭的負担を最小化しつつ高いレベルのセキュリティ保証を維持することを可能にする
【0018】
CASTの解決法は、カード団体がスマートカードの品質保証または証明のために利用することのできる他の解決法(例えばマスターカード社のCard Type Approval program for smart card conformance to M/Chip technical specifications(スマートカードのM/チップ技術仕様への適合用のカードタイプ承認プログラム)、Card Quality Management(CQM) program for card quality assurance and reliability(カード品質の保証及び信頼性のためのカード品質管理プログラム)、及びBureau Certification program for receiving logical security requirements at chip personalizers(チップ個人化装置において論理的セキュリティ要求を受け取るための事務所証明プログラム))と相補的であり、そして他の解決法と共に用いることができる。
【0019】
カード団体は、カードの形状因子及びベンダーにかかわらず、CASTの解決法を各スマートカードの実現の義務的評価に用いることができる。ブランド付きのスマートカードの各構成要素(例えば集積回路またはチップ、オペレーティングシステム(OS)及びアプリケーション)を評価する。
【0020】
CASTの解決法は、スマートカードが、集積回路上に構築されたオペレーティングシステム上に築かれたアプリケーションの複合体であることを認識する。CASTの解決法のプロセスは、異なるレベルの証明を与えることによって、このことを反映する。CASTの解決法は、2つの主要グループまたはレベルの証明可能な製品、即ち集積回路(IC)及び集積回路カード(ICC)に適用可能である。図1を参照しながら説明する。図では、これらの証明可能な製品のグループの各々を、CASTの解決法が一組の構成要素を含むように示す。証明可能なIC製品は例えば、ICコア及びメモリー構成要素を含むものとして示す。証明可能なICC製品は、オペレーティングシステム及びアプリケーションの構成要素を追加的に含むものとして示す。類似した一組の製品の変形、例えば種々のメモリー構成を有するICコアは、証明を受ける単一製品として評価し、そしてCASTの解決法による単一の証明書によってカバーすることができる。
【0021】
IC製品の評価のために、CASTの解決法は、スマートカード製品に用いられる実際の集積回路を考慮する。CASTの解決法は、リバースエンジニアリング(逆行分析、分解調査)、情報漏洩、及び欠陥の導入のような脅威を含む既知の攻撃方法に有効に対処するように設計されたICコア構成要素のセキュリティ機能における高度な保証を求められ得る。CASTの解決法は、製品設計、開発、及び配送プロセスのセキュリティを考慮に入れる。CASTの解決法は、ベンダーによって既に実行された評価作業を有利に活用し、この評価作業は、カード団体による(例えばマスターカード社のinternal Analysis Laboratory(内部分析機関)(MCAL)による)追加的な外部評価または内部評価によって補うことができうる。
【0022】
ICC製品の評価(即ちカード評価)のために、CASTの解決法は、オペレーティングシステムを開発するカード製造業者のセキュリティを評価する。評価される重要な特徴は、カード製造業者がチップのセキュリティ上に積み重ねてスマートカードのセキュリティ全体を提供する方法である。さらに、製品カードの証明用のCASTの解決法は、MULTOSまたはJavaCardオペレーティングシステムのような仮想マシンの特定要求を考慮することができる。こうしたオペレーティングシステムの性質は、スマートカードのセキュリティを保証するために緻密な評価を必要とする。CASTの解決法は次のことを含むことができる:(1)実現が仕様に適合し既知の弱さを含まないことを検証するための、プラットフォームの論理試験、(2)実現が潜在的な弱さに対する対策を有することを保証するための、プラットフォームの物理的な侵入試験、及び(3)を仕様への適合及び既知の脆弱性に対する防御を検証するための、アプリケーションのローディング・メカニズム(ロード機構)、例えばGlobal Platform(グローバル・プラットフォーム(登録商標))の試験。
【0023】
ICC製品の証明のためのCASTの解決法は、アプリケーション構成要素の評価も含む。アプリケーション評価は、IC及びICC製品中のオペレーティングシステム構成要素の評価と共に、あるいはICの評価後のいずれかに限って実行する。アプリケーションは、対応するIC及びカード上に実現したオペレーティングシステムなしでは評価しない。アプリケーションの評価のために、CASTの解決法はアプリケーションの開発者を評価し、そして開発されたアプリケーションが、チップのセキュリティ及びオペレーティングシステムの設計者のガイドラインに従うことを保証する。CASTの解決法は、高いレベルの確実性を保証するための(例えばMChip(Mチップ)を含む)金融アプリケーションの実現調査を含む。これらの調査はコード調査及び侵入試験を含む。独自のオペレーティングシステムまたは仮想マシンを有する2つ以上のアプリケーションがカード上に存在する際には、これらのアプリケーション間のファイアウォール及び/またはオブジェクト共用がないことを実証するための保証が追求される。リスク評価は一部のアプリケーションに対して行うこともできる。リスク評価は、カード外の構成要素がセキュリティプロセスにおいて重要な役割を果たす場合には、カード外の構成要素の統合を含むことができる。
【0024】
CASTの解決法では、製品のセキュリティ保証はセキュリティ評価によって得られ、セキュリティ評価は、信頼できる外部評価機関がカード団体のセキュリティ・ガイドライン(例えばマスターカード社のセキュリティ・ガイドライン)及び/または外部で開発した試験ツールを用いて実行することができる。カード団体は、ベンダーまたは会員によって実行された以前の作業を活用することができる。カード団体は、Common Criteria(共通基準)のような一部の公式な評価方式において用いられる方法を認識することができるが、完全な評価報告書のみをこうしたものの証拠として受け取ることもできる。
【0025】
CASTの解決法は、カード団体と製品ベンダーとの間の協力を反映し、そして評価作業において費やされる不要なコスト及び時間を最小化することを追求する。カード団体は、CASTの解決法を自分自身の内部R&D(研究開発)プログラムでサポート(支援)して、外部機関及びベンダーとの親密な関係を維持しつつ、脅威及び防御の最適な意識を保証する
【0026】
CASTの解決法の出力は、チップのベンダーからカードの製造業者を通って会員銀行に至る単一の承認経路を識別する連鎖を保証することであり、当てはまれば、独立したアプリケーションの開発者を含む。スマートカード製品のベンダーは、自分の製品がCASTの解決法によって評価され、カード団体のセキュリティ・ガイドラインに合うものとして承認されたことの証拠として、CAST証明番号を会員銀行に提供することを要求され得る。ベンダーの製品に潜在的なセキュリティの欠陥または脆弱性が見つかった場合には、CASTの証明は授与されない。ベンダーは、あらゆるこうしたセキュリティの欠陥または脆弱性の詳細を十分に提供されることができる。カード団体はベンダーと共に作業して、スマートカードの発行者に潜在的なセキュリティの欠陥または脆弱性を適切に知らせて、これによりこれらのリスクまたは露呈を適切に評価することができる。さらに、カード団体はベンダーと共に作業して、脆弱性を減らす改良製品を導入する計画を導入することができる。
【0027】
スマートカードにおいて一般に展開されている電子支払アプリケーション(例えばマスターカード社のMchip Application)は、多くのリスク管理方策を可能にする。リスク管理方策は、支払アプリケーション仕様(例えばMchip Specifications)及び/またはEMV社によって発行されているEMV Security Guidelinesのような業界のガイドライン中に詳記することができる。これらのリスク管理方策はCASTの解決法によって補足または拡張することができ、CASTの解決法はスマートカードのセキュリティ評価をベンダーの製品設計及び開発プロセスの必要な部分とすることができる。ベンダーが製品を販売する際には、ベンダーは、CASTの解決法の保証及び試験プロセスを満足するために実行した試験を説明することを要求され得る。
【0028】
CASTの解決法におけるセキュリティの試験は、新たなセキュリティの脅威及び攻撃のポテンシャルの進展が認識されると共に、絶えず適時に更新することができる。CASTの解決法における試験のレベルを絶えず上げて、「現在技術状況」における攻撃のポテンシャルを反映することができる。結果的に、新たに証明されたスマートカード製品は常に、最新の脅威に対して、以前の保証よりも高いレベルの保護を提供する。会員銀行または発行者は、製品が新たなセキュリティの脅威に対して安全であるか否かについての情報のために、ベンダーのスマートカード製品のCAST証明書の日付をチェックすることができる。CASTの解決法は、電子支払業界が攻撃者の一歩先に留まることを有利に可能にする。
【0029】
CASTの解決法は、完全なセキュリティのようなものは存在しないことを認識している。スマートカード上の一次的な資産は秘密鍵(シークレットキー)及びPIN(Personal Identification Number:個人識別番号)である。二次的な資産は、セキュリティ・カウンタ(例えばApplication Transaction Counter(アプリケーション取引カウンタ))のようなパラメータを含む。十分高い作業機能(手腕、製品及び時間)を伴う攻撃は、カードのセキュリティを破りスマートカード上の一次的資産及び二次的資産にアクセスすることに十分成功し得る。CASTの解決法は、これらの意味の脆弱性を識別して、会員銀行または発行者用の適切なシステム・リスク分析に適合するように設計されている。
【0030】
会員銀行または発行者は、脆弱性のすべてのレベルにおける防御を含めることによって、安全なスマートカード支払システムを開発または実現することができる。発行者は、防止、検出及び復旧の戦略を開発することができる。攻撃者は、顕示または見返りのいずれかの願望によって動機付けられ得る。会員銀行または発行者は、いずれかの動機の攻撃者のための事件管理手順を計画し、そしてリスク/見返りの式(算段)が攻撃者に味方することを防止するための適切なセキュリティ方策を実現することができる。
【0031】
ベンダーの製品がCAST証明書を受けていない場合には、ベンダーは、CAST証明書がない理由を説明する立場におかれ得る。ベンダーは、発行者の実現計画に対する潜在的なリスクについてのガイダンス(指針)を提出することができる。リスクは時として、他のセキュリティ方策によって、会員銀行または発行者にとって許容可能なレベルに軽減することができる。
【0032】
図2に、カード団体(例えばマスターカード社)によって実現されるCASTの解決法200において展開される好適なプロセスの組を示す。CASTの解決法200は、会員銀行が、自分のスマートカードのプログラムまたは実現について知識ベースのリスク評価を実行可能にし、そして金融取引のセキュリティの保証における調和のとれた絶え間ない改善を促進するように設計することができる。CASTの解決法200は、現在技術状況のセキュリティ機能を有するベンダーの製品を目立たせるように設計する。
【0033】
CASTの解決法200において、ステップ202では、カード団体に関連する分析機関が脅威、及びスマートカード業界におけるセキュリティの進展を絶えず監視する。分析機関はこの監視行動を絶えず独自で、及び/または他のセキュリティ機関と共同で行うことができる。分析機関は、新たな脅威、攻撃、及びセキュリティ評価法を識別するための研究開発を行うことができる。
【0034】
分析機関は、その脅威及びセキュリティの監視に関する結果、及び安全なスマートカード製品についての更新可能な情報を含むセキュリティ・ガイドラインにおけるR&D(研究開発)行動を組み入れ、セキュリティ監視を処理することができる。セキュリティ・ガイドラインは、製品の種類(例えばICの設計ガイドライン、オペレーティングシステムの設計ガイドライン、及びアプリケーションの設計ガイドライン)によってグループ分けすることができる。カード団体はセキュリティ・ガイドラインを維持して、スマートカード製品の設計のための最新のガイダンス(手引き)をベンダーに提供することができる。ステップ204では、セキュリティ・ガイドラインをベンダーに与えてベンダーが自分のスマートカード製品を開発することを手助けし、かつ/あるいは、外部の試験機関に与えて試験機関がCASTの解決法の枠組み(フレームワーク)内でスマートカード製品を評価することを手助けする。
【0035】
ステップ206では、ベンダーが、カード団体によって提供されたガイドラインに従って自分のスマートカード製品を設計することができる。次に、CASTの解決法200における「製品を試験して証明する」ステップ208では、ベンダーの製品、及び適切であれば関係するプロセスを評価して、ベンダーが製品の設計において脅威及び攻撃を適切に考慮に入れているか否かを判定する。評価は詳細な試験及び証明プロセス300を含み、これを図3に示す。ステップ208における評価の結果として、カード団体はベンダーの製品についての証明書または条件付証明書を発行することができる。ステップ208において残された脆弱性が発見されない場合には、カード団体はCAST証明書を発行する。ステップ208において残された脆弱性が発見された場合には、カード団体は、発見された脆弱性が管理可能なリスクまたは許容可能なリスクをもたらすことがリスク分析によって示された場合には、条件付CAST証明書を発行することができる。リスク分析はステップ208において実行することができる(図3のプロセス300参照)。
【0036】
カード団体によって発行された証明書は、証明書上で識別される販売者の製品がCAST評価を受け、そして残されて発見された脆弱性についてのリスク分析が実行されたことを確証することができる。カード団体は、こうしたCAST証明書が条件付であることを公表することができる。その結果、ベンダーは、リスク分析報告書に含まれる情報を、条件付CAST証明書によってカバーされる製品をベンダーが売り込む会員銀行(及び他の関係者)に開示することを強いられ得る。この開示は、ベンダーの顧客が残されたリスクを自分のリスク評価に収めることができることを保証し、そして顧客がこれらの残されたリスクに対する十分な対策を自分の電子支払システムに導入することができるために必要となり得る。
【0037】
CASTの解決法200は随意的なセキュリティ監視ステップ209を含むことができ、ステップ209では、カード団体が継続的なプロセスを動作させて、証明された製品を新たに識別された攻撃及びリスクに対してチェックして、十分なリスク管理を保証する。適切または必要であれば、カード団体は、CAST証明された製品を持つベンダーに、証明された製品の新たに発見された脆弱性について情報提供ことができる。このことは、ベンダーがリスクを排除して自分の顧客のリスク管理プログラムをサポートすることを可能にする。
【0038】
図3に、CASTの解決法200におけるステップ206において使用することのできる試験及び証明プロセス300の好適なステップを示す。スマートカード製品の実現に関与または関連する種々の関係者は、カード団体、製品のベンダー、及び外部及び内部の機関を含めて、プロセス300の各ステップを実行することができる。図3は、実行する各ステップの役割、並びに必要な書式、及びプロセス(処理)ステップ毎の結果的な、あるいは必要な文書を示す。
【0039】
図3に示すように、予備ステップ312では、カード団体及びベンダーは秘密保持契約に署名することができる。このプロセスステップの結果として、両方の当事者がCAST契約書式(302)の署名されたバージョン(版)(336)を受け取ることができる。ステップ314では、ベンダーは、CAST評価を意図した製品についての詳細及びこれに関係する管理情報をカード団体に提供することができる。CAST登録の詳細(338)は、標準的なCAST登録書式304を完成させることによって提供することができる。ステップ316では、ベンダー及びカード団体は、完成したCAST登録書式338に基づいて初期の打合せを行って、評価プロセス及びその基になる情報の共通の理解に達することができる。ベンダーは、製品に対して既に実行したセキュリティ評価についての事前の証拠を提出することができ、従って、カード団体は効率的な初期の打合せの準備をすることができる。
【0040】
ステップ318では、開始プロセス200または300の前にまだ完成していなければ、ベンダーは製品の設計を仕上げるか、あるいは、公表されたCASTガイドライン306(例えば図2のステップ204参照)から導出した要求に対する応答として製品に変更を加えることができる。ステップ318では、プロセスはさらに、製品及びその基になる開発及び生産プロセスのセキュリティ性能の自己評価または第三者(サードパーティ)の評価を実行または修正することを含むことができる。また、ステップ318では、ベンダーは製品設計の文書化(ドキュメンテーション)308及び製品サンプル310を試験用に提供することができる。
【0041】
これに応答して、ステップ320では、カード団体は、提出されたベンダーの製品310を試験するための機関を選択し、そして必要な評価の詳細を決定することができる。ステップ320は、必要な評価の詳細について合意するためのベンダーとカード団体との間の打合せを含むこともできる。この詳細は、義務的な評価のリスト及び利用する機関の選択を含むことができる。ステップ320は、カード販売者または第三者によって既に実行された製品のセキュリティ評価についての既存の証拠の、カード団体による調査を含むことができる。ベンダー及びカード団体は、ベンダーによって行われる事前作業の必要性を考慮に入れることについて合意することができる。しかし、カード団体は、CASTの解決法の範囲内でどの評価の最小組が必要であると考えられるかについての最終決定を覆すことができる。
【0042】
ステップ320は、ベンダーとカード団体とが、製品が評価に備えて十分に成熟していることについて合意した後のステップ316後の適切な時点で実行することができる。ステップ320の完了時に、購入注文342を選択した試験機関に出し、最小評価の詳細を文書化することができる(340)。
【0043】
次に、ステップ322では、選択した機関が、ベンダーの製品及びその基盤の必要な評価(340)を実行することができる。選択した機関によって実行される評価は、製品サンプルの物理的試験、設計文書化及び/またはベンダーの開発及び生産プロセスの検査を含むことができる。ステップ324では、選択した機関が、結果を文書化した機関の評価報告書をカード団体に直接、あるいはベンダー経由で提出することができる。
【0044】
ステップ326では、カード団体が提出された機関の評価報告書を有効確認する。カード団体は機関の評価報告書を厳密に調べることができ、そしてさらなる評価を要求することがあり、この場合には、プロセス300は、機関の選択及び評価の詳細のステップ320に戻ることができる。ステップ316において、機関の評価報告書が十分な保証を提供するものとカード団体が考える場合には、カード団体はCASTの総括報告書(348)を用意することができる。脆弱性が発見された場合には、残存脆弱性報告書(350)を総括報告書348の一部として用意することができる。
【0045】
さらに、ステップ326における機関の評価報告書の厳密な調査に基づいて、発見された脆弱性のリスク分析をステップ328において実行することができる。ベンダーとカード団体とは、リスク分析のステップ328を個別に、あるいは合同で実行することができる。リスク分析に応じて、ベンダーは発見された脆弱性を修正して新たなサンプルまたは製品バージョンを(例えばステップ320における)再評価用に提出することを選ぶことができる。
【0046】
ステップ326において残された脆弱性が発見され、そしてベンダーがこれらの脆弱性を修正しないことを決めた場合には、ベンダー及びカード団体は合同でリスク分析報告書(352)を用意することができる。リスク分析報告書352は、ベンダーの製品の使用を考えているカード団体の会員銀行のためのリスク情報を含む。カード団体は、リスク分析報告書352の内容に関するベンダーの希望を理解し考慮に入れようとすることができる。しかし、カード団体は、リスク分析報告書352の内容についての最終的な権限を留保しなければならず、これにより、カード団体は、当該団体の会員銀行に対する、ベンダーのスマートカード製品の有効なリスク評価についての信頼できる情報を提供する義務を遂行することができる。
【0047】
カード団体がステップ328によって、十分な保証が実証され、そして見出し得る脆弱性は発見されていないものと結論付けた場合には、ステップ334において、カード団体は製品についてのCAST証明書(354)をベンダーに対して発行することができる。カード団体が、発見された脆弱性がリスク分析報告書352によって十分にカバーされ、会員銀行にとって管理不能または許容不可能なリスクを構成しないものと結論付けた場合には、カード団体は製品についての条件付CAST証明書をベンダーに対して発行することができる。この証明書は、会社製品の登録詳細(330または338)とすることができ、そして処理及び電子送達における利便性のために電子テンプレート(322)を使用することができる。カード団体はCAST証明書を発行しない権利を留保することができる。
【0048】
以上の説明は本発明の原理の例示に過ぎず、当業者が本発明の範囲を逸脱することなしに種々の変形を加え得ることは明らかである。
【図面の簡単な説明】
【0049】
【図1】本発明の原理による準拠評価及びセキュリティ試験の解決法を用いて認定することのできる2つのカード製品の構成要素の概略図である。
【図2】本発明の原理による、スマートカード製品用の準拠評価及びセキュリティ試験の解決法の好適なサブプロセスを例示するフロー図である。
【図3】本発明の原理による、スマートカード製品用の準拠評価及びセキュリティ試験の解決法における好適なステップを例示するフロー図である。
【特許請求の範囲】
【請求項1】
ベンダーのスマートカード製品の準拠評価及びセキュリティ試験を行う方法であって、前記製品は、電子支払システムにおいてカード団体のブランド名の下での使用を意図され、前記カード団体はスマートカード製品についてのセキュリティ・ガイドラインを有する、スマートカード製品の準拠評価及びセキュリティ試験方法において、
(a) スマートカード業界における脅威、攻撃、及びセキュリティの進展を監視するステップと;
(b) ステップ(a)に基づいて、安全なスマートカード製品の設計についての更新可能な情報を含む前記カード団体のセキュリティ・ガイドラインを前記ベンダーに提供して、前記ベンダーが前記カード団体のセキュリティ・ガイドラインに従ってスマートカードを設計できるようにするステップと;
(c) 前記ベンダーのスマートカード製品を試験して、前記ベンダーが前記製品の設計において脅威を適切に考慮に入れているか否かを判定するステップと;
(d) ステップ(c)の結果に基づいて、準拠の証明書を発行するステップと
を具えていることを特徴とするスマートカード製品の準拠評価及びセキュリティ試験方法。
【請求項2】
ステップ(c)において脆弱性が発見された場合に、さらに、
(e) リスク分析を行って、前記発見された脆弱性によってもたらされるリスクのレベルを判定するステップと;
(f) ステップ(e)の結果に基づいて、前記ベンダーの製品についての準拠の条件付証明書を発行するステップと
を具えていることを特徴とする請求項1に記載の方法。
【請求項3】
さらに、
(g) 前記準拠の証明書が条件付であるという情報を公表するステップを具えていることを特徴とする請求項2に記載の方法。
【請求項4】
さらに、
(h) 前記証明書を発行された前記製品の、新たに識別された脅威、攻撃、及びリスクに対する継続的なチェックを実行するステップを具えていることを特徴とする請求項1に記載の方法。
【請求項5】
さらに、
(i) 以前に前記証明書を発行された前記製品において、ステップ(h)において新たに発見された脆弱性について前記ベンダーに情報提供するステップを具えていることを特徴とする請求項4に記載の方法。
【請求項6】
ステップ(c)が、前記製品に対して既に実行したセキュリティ評価についての情報を前記ベンダーから受け取ることを含むことを特徴とする請求項1に記載の方法。
【請求項7】
ステップ(c)が、前記ベンダーから受け取った、前記製品に対して既に実行したセキュリティ評価についての情報を評価し、これに応じて前記ベンダーのスマートカード製品の追加的試験を実行して、前記ベンダーが前記製品の設計において脅威を適切に考慮に入れているか否かを判定することを含むことを特徴とする請求項1に記載の方法。
【請求項8】
ステップ(b)において前記ベンダーに提供される、前記セキュリティ・ガイドライン中の更新された情報に応答して、前記ベンダーが前記製品に対する変更を行うことを特徴とする請求項1に記載の方法。
【請求項9】
ステップ(c)において、前記ベンダーによって修正されていない脆弱性が発見された場合に、さらに、リスク分析報告書を用意するステップ(j)を具えていることを特徴とする請求項1に記載の方法。
【請求項10】
さらに、
前記ベンダーの製品の使用を考えている前記カード団体の会員銀行に、前記リスク分析報告書を提供するステップ(k)を具えていることを特徴とする請求項9に記載の方法。
【請求項1】
ベンダーのスマートカード製品の準拠評価及びセキュリティ試験を行う方法であって、前記製品は、電子支払システムにおいてカード団体のブランド名の下での使用を意図され、前記カード団体はスマートカード製品についてのセキュリティ・ガイドラインを有する、スマートカード製品の準拠評価及びセキュリティ試験方法において、
(a) スマートカード業界における脅威、攻撃、及びセキュリティの進展を監視するステップと;
(b) ステップ(a)に基づいて、安全なスマートカード製品の設計についての更新可能な情報を含む前記カード団体のセキュリティ・ガイドラインを前記ベンダーに提供して、前記ベンダーが前記カード団体のセキュリティ・ガイドラインに従ってスマートカードを設計できるようにするステップと;
(c) 前記ベンダーのスマートカード製品を試験して、前記ベンダーが前記製品の設計において脅威を適切に考慮に入れているか否かを判定するステップと;
(d) ステップ(c)の結果に基づいて、準拠の証明書を発行するステップと
を具えていることを特徴とするスマートカード製品の準拠評価及びセキュリティ試験方法。
【請求項2】
ステップ(c)において脆弱性が発見された場合に、さらに、
(e) リスク分析を行って、前記発見された脆弱性によってもたらされるリスクのレベルを判定するステップと;
(f) ステップ(e)の結果に基づいて、前記ベンダーの製品についての準拠の条件付証明書を発行するステップと
を具えていることを特徴とする請求項1に記載の方法。
【請求項3】
さらに、
(g) 前記準拠の証明書が条件付であるという情報を公表するステップを具えていることを特徴とする請求項2に記載の方法。
【請求項4】
さらに、
(h) 前記証明書を発行された前記製品の、新たに識別された脅威、攻撃、及びリスクに対する継続的なチェックを実行するステップを具えていることを特徴とする請求項1に記載の方法。
【請求項5】
さらに、
(i) 以前に前記証明書を発行された前記製品において、ステップ(h)において新たに発見された脆弱性について前記ベンダーに情報提供するステップを具えていることを特徴とする請求項4に記載の方法。
【請求項6】
ステップ(c)が、前記製品に対して既に実行したセキュリティ評価についての情報を前記ベンダーから受け取ることを含むことを特徴とする請求項1に記載の方法。
【請求項7】
ステップ(c)が、前記ベンダーから受け取った、前記製品に対して既に実行したセキュリティ評価についての情報を評価し、これに応じて前記ベンダーのスマートカード製品の追加的試験を実行して、前記ベンダーが前記製品の設計において脅威を適切に考慮に入れているか否かを判定することを含むことを特徴とする請求項1に記載の方法。
【請求項8】
ステップ(b)において前記ベンダーに提供される、前記セキュリティ・ガイドライン中の更新された情報に応答して、前記ベンダーが前記製品に対する変更を行うことを特徴とする請求項1に記載の方法。
【請求項9】
ステップ(c)において、前記ベンダーによって修正されていない脆弱性が発見された場合に、さらに、リスク分析報告書を用意するステップ(j)を具えていることを特徴とする請求項1に記載の方法。
【請求項10】
さらに、
前記ベンダーの製品の使用を考えている前記カード団体の会員銀行に、前記リスク分析報告書を提供するステップ(k)を具えていることを特徴とする請求項9に記載の方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2008−511054(P2008−511054A)
【公表日】平成20年4月10日(2008.4.10)
【国際特許分類】
【出願番号】特願2007−527999(P2007−527999)
【出願日】平成17年8月17日(2005.8.17)
【国際出願番号】PCT/US2005/029347
【国際公開番号】WO2006/033727
【国際公開日】平成18年3月30日(2006.3.30)
【出願人】(500557864)マスターカード インターナシヨナル インコーポレーテツド (18)
【Fターム(参考)】
【公表日】平成20年4月10日(2008.4.10)
【国際特許分類】
【出願日】平成17年8月17日(2005.8.17)
【国際出願番号】PCT/US2005/029347
【国際公開番号】WO2006/033727
【国際公開日】平成18年3月30日(2006.3.30)
【出願人】(500557864)マスターカード インターナシヨナル インコーポレーテツド (18)
【Fターム(参考)】
[ Back to top ]