スマートカード採用プロジェクトの期限に追われる米連邦機関

米連邦政府は主要連邦機関に対し、スマートカードでの職員認証システム導入を義務付けているが、組織的、技術的課題により、その期限を守るのが非常に困難になっている。(IDG)

» 2005年06月27日 11時41分 公開
[IDG Japan]
IDG

 連邦職員の建物への入館およびITシステムへのアクセスを認証するスマートカードの導入を義務付ける2004年の大統領指令の期限が来年末に迫っている。

 すべての主要連邦当局は6月27日までに、連邦情報処理規格(FIPS)201で概説されているスマートカードに関する条件に見合う詳細な実装計画を行政管理予算局に提出しなければならない。

 2段階に分けられた計画の下、連邦各局はまず10月27日までにFIPS-201の第1段階を実行しなければならない。これには、職員の身元を認証するための新しいプロセスの開発、登録、IDカードの発行が含まれる。連邦各局が新スマートカードを実際に発行開始する第2段階の期限は2006年10月となっている。

 この命令は、米国土安全保障省の大統領指令12に基づくもので、政府の施設および情報システムへのよりセキュアなアクセスを目指す取り組みの一端として、全連邦職員ならびに関係業者への電子IDカードの発行を義務付けている。カードは、パスワードまたは個人ID番号のデジタル認証と、バイオメトリクス認証の2ファクター認証をサポートしなければならない。またすべての連邦機関間における相互運用性も図られる見込みとなっている。

 命令に準ずるようほとんどの連邦機関に求められている取り組み内容は、今年と来年の10月の期限に間に合わせるのが「非常に困難なもの」と、連邦スマートカードプロジェクトマネジャーズグループの会長で、米一般通達局の全政府政策担当ディレクターを務めるジョン・ムーア氏は言う。

 「2つの期限は極めて野心的な目標だ。全連邦職員と関係業者に影響するという点で、連邦局間でおびただしい量の調整が必要になる。むしろこれは特異なプロジェクトと言える」とムーア氏。

 例えば、Personal Identity Verification(個人ID認証:PIV)スマートカードでは、物理的資産とIT資産の両方へのアクセスがコントロールされる。その結果、ムーア氏によれば、同プロジェクトでは連邦局内のIT部門同士が物理面でのセキュリティについて協力し合うほか、入館を管理するスタッフ、人事関連職員の協力も必要になる。

 大きな技術的問題も幾つか浮上している。

 PIVカードは、米標準技術局(NIST)が開発した新しい規格に準じている。この規格は、古いガイドラインに基づいた現行のスマートカードよりも高い相互運用性を確保できるよう設計されていると、NISTのFIPS-201プログラムマネジャー、カート・バーカー氏は説明している。

 もっとも今回の変革は、既にスマートカードを採用している連邦機関による新たなスマートカードへの移行を余儀なくするものだとバーカー氏。例えば米国防総省では前世代のスマートカードを既に400万枚以上発行している。

 バーカー氏は、こうした移行は「段階的に」行なわれるとしているものの、国防総省などでの移行作業はスマートカードを初めて導入する連邦機関よりも「若干複雑」になるだろうという。

 スマートカードメーカーAxaltoの技術/政府関連担当ディレクター、ネビル・パティソン氏によれば、米政府で採用されるスマートカードの技術的詳細の一部はまだ草案段階にあり、その1つがバイオメトリクス認証の採用と関連したものだという。パティソンおよびベーカー両氏によれば、同カードで指紋やそのほかの身体的特徴を照合するに当たって、フルイメージを採用するのか、それともより少ないデータポイントを使う部分的イメージを採用するのかを、NISTではまだ決定していない。

 これらの問題から、PIVカードの量産が開始されるのは来年後半まで見込めないと、同プロジェクトで連邦局とテクノロジーベンダー間の調整役を務めたパティソン氏は話している。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ