法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
Download as PPTX, PDF•2 likes•2,216 views
BizDay #14 公演スライド
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
- 2. 現在 内閣官房 IT総合戦略室 政府CIO補佐官 経済産業省CIO補佐官 公認情報システム監査人(CISA)、理学博士(物理) デジタル・ガバメント技術検討会議 技術TF 主査 経歴及び職歴 会計監査法人系コンサルティングファームで、システム監査、ITガバナンスコンサルティング、セ キュリティコンサルティング、電子署名法対応コンサルティング等を経験。その後、環境省CIO 補佐官、経済産業省CIO補佐官及び最高情報セキュリティアドバイザー。 有識者会議等 政府の電子署名法、セキュリティ等の有識者会。昨年は、クラウドサービスの安全性評価に 関する検討会、暗号技術活用委員会、『第3層:サイバー空間におけるつながり』の信頼 性確保に向けたセキュリティ対策検討タスクフォース。 1 満塩 尚史(みつしお ひさふみ)
- 3. 法人デジタルプラットフォーム(全体像) 2 事業者の認証 補助金 申請 計画認定 許認可 届出 データA データB データC データD 手続システム (手続を処理) GビズID (ログインシステム) データベース (データを蓄積) Gビズコネクト (法人データ連携基盤) API API API API API API API API Gビズインフォ (オープンデータ) • 経産省では、行政手続等のデジタル化を効果的に進め、かつデータを十分に活用できる環境を構築するた め、アーキテクチャーを整理し、共通的に必要な機能と個別業務で必要な機能に分けて開発を進めている。 (法人デジタルプラットフォーム) • 法人版マイナンバーである法人番号を活用し、一つのID/パスワードで複数の行政サービスにアクセスで きる認証システムとして「GビズID(法人共通認証基盤)」を整備し、2020年2月にリリース。
- 4. Gビズスタック 3 gBizSTACK gBizINFO gBizID gBizCONNECT データ交換層 デジタルID層 オープンデータ・ オープンソース層 手続サービス層 Open corporate information Data exchange between systems Uniform grants application system Data cleansing tools Total SME support portal Corporate authentication for government services gBizANALYSIS データ分析層 BI platform for policy making BI for local economy analysis 事業者向け行政サービスを効率的に提供するために階層ごとに機能を整理し、 サービスを構築していくことが重要。 gBizSTACK
- 5. 4 GビズID関連の閣議決定文書(抜粋) ●未来投資戦略<令和2年 7月17日閣議決定> ⅲ)世界で一番企業が活動しやすい国の実現 ① 法人向けワンストップサービスの実現 GビズID等、法人向け行政手続の利便性を高めるデジタル基盤を2020年度末までに整備し、2021年度以降段階的に利用を拡大する。 ●デジタル・ガバメント実行計画<令和2年 12月25日閣議決定> 6.2 情報システムの整備(◎内閣官房、全府省) (1)国の行政手続の原則オンライン化 ア. 本人確認のオンライン化 行政手続のオンライン化に当たっては、各府省は、「行政手続におけるオン ラインによる本人確認の手法に関するガイドライン」(平成 31 年2月 25 日 CIO 連絡会議決定)に基づき、各手続の特性や利用者の利便性を総合的に勘案 して、マイナンバーカードの公的個人認証機能の活用など各手続に見 合った本 人確認のオンライン化を行う。 法人や個人事業主向けの行政手続であり、同ガイドラインに基づくオンライ ンによる本人確認の手法がレベル B 又は C(同ガイドライン表 3-3 参照)と整 理された手続については、経済産業省が提供する事業者向けの共通的な認証シ ステムであるGビズID(法人共通認証基盤)(以下「GビズID」と い う。)を利用することができる。各府省はその利用について積極的に検討す る。 ●世界最先端デジタル国家創造宣言・官民データ活用推進基本計画 <令和元年12月20日閣議決定> (4) 民間部門のデジタルトランスフォーメーションの促進 また、事業者向け行政手続について、ユーザー視点でデジタルサービスを開発することで、官民双方の業務負担を軽減するとともに、データ利活用環境を整 備し、デジタル・ガバメントへの変革を推進する。1つのID、パスワードで様々な行政手続の認証を可能とするGビズID、ワンストップ・ワンスオンリーで他省 庁、及び地方公共団体も利用可能とするJグランツ等、既に開発しているものにとどまらず、継続してデジタル化を実施する。 ●統合イノベーション戦略<令和2年 7月17日閣議決定> 3.デジタルトランスフォーメーション(DX)の推進と強靭で持続可能な社会・経済構造の構築 ~反転攻勢と社会変革~ ①デジタルトランスフォーメーション(DX)の推進 また、民間事業者に対して、時間・場所の制約なく遠隔で迅速に支援等を提供するため、汎用的な補助金申請システム(Jグランツ)の機能拡充と運用 体制強化、事業者向け共通IDシステム(GビズID)の発行能力強化と迅速化を行う。 ●規制改革実施計画<令和2年 7月17日閣議決定> (3)新たな取組 8.オンライン利用率を大胆に引き上げるための環境整備 法人番号を活用した、GビズIDの横断的導入など認証(本人確認)の共通化やデータ連携等
- 6. • 法人・個人事業主向け行政手続に おける共通の認証システム • IDの取得の際に印鑑証明を一度提 出すればIDが付与される。 (gBizIDプライム) • パスワードとSMSによる2要素認証 を利用。 • Jグランツや企業の社会保険手続等 でも利用。今後利用対象行政手続 を拡大。 GビズID 他省庁のサービスとの接続、自治体サービスとの接続の拡大が、事業者の利便性拡大 の観点から重要。 gBizID 5
- 7. 6 GビズIDによるユーザーエクスペリエンスの改善 1.1つのIDで複数の行政手続に認証できる。 これまでは電子証明書や、登記事項証明の写し等バラバラな本人確認手法だったのを共通 のログインシステムで標準化。 ※今後利用される手続としては以下。 経産省:jGrants、産業保安法令手続(保安ネット)、経営力向上計画申請、認定支援機関申請 等 他省庁:jGrants、企業の社会保険手続(厚労省)、農業者の共通申請システム(農水省) 等 自治体:jGrants ※今後自治体業務の連携についても検討 2.1度の印鑑証明の提出で以後本人確認書類が不要に。 これまでは手続ごとに存在確認書類(登記事項証明書等)を取り寄せていたものが不要 に。 ※2020年度中に法人設立ワンストップとの連携により、新規設立法人に対する電子オンリー でのID発行を目指す。 3.GビズIDプライムでは2要素認証を通じてセキュリティにも配慮。 ID/Passwordに加えて、スマホ、フィーチャーフォンでのアプリ・SMSによる端末認証を通じて、 安全にログインできる環境を実現
- 10. 9 ログインイメージ ① 利用したいシステムのログイン画面に アクセス ② GビズIDのサーバに遷移するので、 アカウントID及びパスワードを入力 ※入力するアカウントIDは「メールアドレス」 ※gBizIDプライム及びgBizIDメンバーに ついては、2要素認証を実施。 ③ 認証結果を申請システム側に返答 ※認証結果を返した後、GビズIDは、 申請経路の通信には関知しない。 ④ 認証結果が正しい場合、ログインが 成功 システムA 新規登録はこちら システムA マイページ ①ログイン画面に アクセス ②GビズIDに 遷移 ②ID/PW 入力 ③認証結果を 返答 ④ログイン
- 11. NIST SP 800-63-3(アメリカ国立標準技術研究所(NIST)が定 める電子的認証に関するガイドライン)の各ユーザモデルの保証レベルと、 GビズIDとの関係については、以下のとおり整理。 gBizIDエントリー gBizIDプライム gBizIDメンバー ※未対応※ IAL 身元情報検証時の 保証レベル (Identity Assurance Level) 1 2 3 本人確認不要、 自己申告での 登録でよい サービス内容により識別に用い られる属性をリモート又は対面 で確認する必要あり 識別に用いられる属性を対 面で確認する必要有 AAL 認証プロセスの 保証レベル (Authenticator Assurance Level) 1 2 3 単要素認証で OK 2要素認証が必要(2要素 目の認証手段はソフトウェア ベースのものでOK) 2要素認証が必要、かつ2 要素目の認証手段はハード ウェアを用いたものが必要 10 保証レベル(NIST SP 800-63-3との関係) ⇒ 電子署名方式の利用の検討
- 12. 本人確認ガイドラインとGビズIDとの対応 必要な保証レベル 身元確認 当人認証 レベル A (レベル3) 対面での身元確認 (レベル3) 耐タンパ性が確保された ハードウェアトークン レベル B (レベル2) 遠隔又は対面での身元確認 (レベル2) 複数の認証要素 レベル C (レベル1) 身元確認のない自己表明 (レベル1) 単一又は複数の認証要素 GビズIDとの対応関係 (レベルA相当) レベルAに該当する機能はなし (レベルB相当)gBizIDプライム ※身元認証:印鑑証明書等から代表者を確認 ※当人認証:2要素認証 (レベルC相当)gBizIDエントリー ※身元確認:存在確認のみ ※当人認証:単要素認証 《本人確認の手法例の対応表(法人等に係る行政手続)》 11 • 平成31年2月、CIO連絡会議において、「行政手続におけるオンラインによる本人確認の手法 に関するガイドライン」が策定された • GビズIDとしては、当該ガイドラインとも整合を取りつつ整理 《GビズIDを用いて申請できる手続の具体例(社会保険手続)》 ガイドラインにおいて、社会保険手続のうち「保険の適用日・喪失日を申請内容に含む手続」や「保険料又は給付額 算定の根拠となる報酬等を申請内容に含む手続」等については、ログイン履歴の管理機能や未登録端末からのログイ ン検出機能等を有するGビズIDが提供するID・パスワード(多要素認証)により実施可能と考えられる、として例 示されている。
- 13. 対象アカウント種別 認証方式 認証要素 gBizIDエントリー 単要素認証 知識(パスワード)認証 gBizIDプライム/gBizIDメンバー 2要素認証 知識(パスワード)認証 + 所有物認証 GビズIDでのログイン (当人認証)方法 スマートフォンアプリ認証 ワンタイムパスワード認証 ・アカウント登録後マイページからスマホアプリのダウンロードが可能。 ・iPhone・Android版あり。 iPhoneの場合、TouchIDやFaceIDに対応している端末の場 合には、指紋認証や顔認証を利用することができる。 ・スマートフォンアプリの利用ができない場合は、 ワンタイムパスワード認証を利用。 ・ユーザ登録時に登録したSMS受信用電話 番号あてに、SMSにてワンタイムパスワード (6桁数字)を受信し、その番号をWebロ グイン画面上に入力することでログインできる。 アイコン 画面入力 12 SMSにて受信 ワンタイムパスワード: (例)123456 (イメージ) ✓NIST SP 800-63-3の当人認証保証レベル「AAL2」に相当するには2要素認証が必要
- 15. GビズIDと接続するには https://openid.net/connect/ 日本語訳:http://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html ✓GビズIDは、ID連携標準プロトコル「OpenID Connect」の Authorization Code Flowシーケンスに完全準拠している。 ✓GビズIDはインターネット上でのサービスであり、業界標準プロトコルを採用 していることから、特にパブリッククラウドとの親和性が高く、接続コストが低い https://developer.salesforce.com/jpblogs/2020/11/example_sso_with_openidconnect/ 14
- 17. 16 OpenID Connect対応するためのモジュール追加例 ーOpenID Foundation が公式認定しているライブラリやサービスの活用を推奨 https://openid.net/developers/certified/ -Certified Relying Party Libraries -Certified Relying Party Servers and Services
- 18. 運用センターについて • GビズIDにおいては、gBizIDプライムアカウントの審査等を行う運用センターを設置(利用者か らの問合せに対応するヘルプデスクを含む)。 • 運用センターでは、施錠、入室の制限、個人所有端末の持ち込み制限など、必要なセキュリティ 対策を実施。 17 ユーザー 運用センター 申請書等の郵送等 審査結果の通知等 ○ フローに従い厳格なチェックを行う。 - 印鑑(登録)証明書と申請書の印影確認 - 代表者氏名等の確認 ○gBizIDプライム登録には一定程度の時 間を要する。 ○また、不備があれば郵送で書類を返す。 審査の実施 ○スマートフォンアプリの登録解除を行わない状態で、スマートフォンを紛失又は機種変更を行った 場合に、運用センターでの対応が必要となる。 ○また、ワンタイムパスワード認証を行っている場合にも、携帯電話を紛失等した場合には、運用 センターでの対応が必要となる。 など運用センターにおいては、各種問合せ対応が発生するところ。 運用センターにおけるその他のオペレーション
- 20. 19
- 21. 20
- 23. 22 gBizIDにおける身元確認 申請者の申請権限の確認(印影と印鑑証明書の印影の確認) 法人(商号、本店住所等)の確認(登録申請者作成時に、国税庁法人番号公表サイトから自動入力) 法人代表者の属性情報の確認(印鑑証明書の記載事項の確認) 印鑑証明書の真偽の確認(書面の形式的な確認。書面の真偽確認。) ②代表者印を 押印する ③記載内容と異なる連絡先に連絡希 望の方は記入します。 ①作成日を記入する 会社法人等番号 XXXXXXXXXXXXX 商 号 株式会社〇〇〇〇〇 本 店 東京都〇〇区○○丁目〇番〇号 代表取締役 〇〇 〇〇 昭和〇年〇月〇日生 印 鑑 証 明 書 これは提出されている印鑑の写しに相違ないことを証明する。 (東京法務局〇〇出張所管轄) 令和〇年〇月〇日 東京法務局〇〇出張所 登記官 〇〇 〇〇 (登記官個人名) 法務局 公印 整理番号〇〇〇〇 代 表 者 印
- 24. 23 国税庁 法人番号公表サイト 商業登記の情報と同期 読みが登録できる。 英語表記が登録できる。 APIで簡単にデータが取得できる。
- 25. 24 gBizIDにおける身元確認の自動化の方向性(現状の私案) • 申請者の申請権限の確認 (印影と印鑑証明書の印影の確 認) • 申請者の個人の識別及び確認 (マイナンバーカードのJPKIによる券面 入力補助APIや署名用電子署名書を 活用した電子署名) • 国税庁法人番号公表サイトの活用 • 商業登記事項のAPI連携 • 法人(商号、本店住所等)の確認 • 法人代表者の確認 • 印鑑証明書の真偽
- 26. 25 行政機関における在籍証明
- 27. 26 認証プロバイダーに求められる機能 Digital Identity 身元確認 Identitiy Proofing 当人認証 Authentication 実態 バーチャル (デジタル) • 実態の正しい属性情報の確認 • 「実態」 • 人間、組織、コンピュータ、センサー等でも可能 • 属性情報が測定可能なこと • 「正しい」 • 自己申告、公的なデータベースから確認、第三 者(弁護士等)による証明 • 公的なデータベース、第三者の確認 • バーチャルとの紐づけが正しいことの確認 • 正しく確認した実態に認証トークンを提供 • 身元確認をおこなった実態に対して認証トーク ンを提供(パスワードの設定、SMSのワンタイム パスワードの送信) • 認証トークンを保証レベルに合わせて提供 • 保証レベル1⇒1要素 • 保証レベル2⇒2要素 • 保証レベル3⇒2要素(耐タンパモジュール) • 認証トークンを正しく受け取った場合、Relying Party に正しく返答 • OpenID Connectに準拠
- 28. 27 認証プロバイダーにおける組織の身元確認における抽象化 組織の存在確認 – 組織の属性情報自体の確認:法人番号、商号、本店の住所が法人番号公表サイト、印鑑証明書上での確認 – 組織の属性情報の信頼性の確認:印鑑証明書の真偽 個人の存在確認 – 個人の属性情報自体の確認:個人名、生年月日が印鑑証明書上での確認 – 個人の属性情報の信頼性の確認:印鑑証明書の真偽 個人の組織所属者の確認 – 個人が組織に所属していることの確認:法人代表者の印鑑証明書であることで、法人代表者の確認 組織所属者(個人)の申請事実の確認 – 組織所属者が申請していることの確認:申請書の押印と印鑑証明書の印影の確認 組織 個人 認証プロバイダー 申請 ポリシー 認証結果 Relying Party
- 29. 28 今後の法人KYC KYCの自動化 – 法人、個人の属性情報や個人の組織所属情報のAPI連携の促進 – 法人、個人の属性や個人の組織所属を証明する証明書の電子署名の利活用の促進 法人KYCにおいても、固定ポリシーのKYCからKYCの品質情報の提供 – 法人KYCにおいても「OpenID Connect for Identity Assurance」のような品質情報の提供 • 身元確認の確認情報の提供により、RPへの証跡情報の提供 • 複数の保証レベルを一つの認証プロバイダーで提供 – 想定される利用場面 • 国際的なインターオペラビリティ • 分野間横断的な認証プロバイダー • 複雑な保証レベルを提供する認証プロバイダー ご静聴ありがとうございました。