Oracle Cloud Infrastructureドキュメント

継続的要員検証の管理(ベータ)

重要

Pre-General Availability: 2023-10-14

このドキュメントはPre-General Availability (一般提供前)版であり、デモおよび暫定使用のみを目的としたものです。このソフトウェアを使用するハードウェアに限定するものではありません。Oracle Corporationおよびその関連会社は、このドキュメントに関して一切の責任を負わず、いかなる保証もいたしません。また、このドキュメントを使用したことによって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。

このドキュメントは、マテリアルやコード、機能またはサービスを提供することのオラクルによるコミットメント(確約)ではありません。このドキュメントおよびOracleのPre-General Availability(一般提供前) プログラムとサービスは、予告なしにいつでも変更される可能性があります。したがって、購買決定を行う際の判断材料にしないでください。オラクルのPre-General Availability(一般提供前)プログラムおよびサービスの開発、リリース、およびすべての機能の時期は、オラクルの単独の裁量により決定されます。すべてのリリース日または将来のイベントなどの予測は変更される可能性があります。オラクルとのあらゆるライセンス契約またはサービス契約の締結にあたり、今後のオラクルのプログラムまたはサービスの将来の利用可能性を前提としないでください。

Oracleの法律上の注意点を参照してください。

はじめに(ベータ)

アイデンティティ検証(IDV)は、物理的な顔の属性をパスポートや運転免許などの政府発行の識別文書と比較して、個人の実際のアイデンティティを検証するプロセスです。これにより、ユーザーは自分が主張する人物であることを保証できます。

Continuous Workforce Verification (CWV)は、初期登録後に顔の生体認証を使用してユーザーのアイデンティティを定期的に再検証することで、IDV上に構築されます。これにより、アプリケーションまたはリソースにアクセスする個人が、アプリケーションまたはリソースにアクセスすることになっている個人(および資格証明を所有していた個人ではない)であることが保証され、不正なアクセスや不正アクセスに対する組織のセキュリティ状態が強化されます。

このサービスは、サード・パーティのアイデンティティ検証(またはアイデンティティ・プルーフ)プロバイダと統合して、初期ドキュメントおよびアイデンティティ・チェックを実行します。ユーザーのアイデンティティが検証されると、その顔の生体認証データがOracleのネイティブ・サービスに登録され、継続的な検証チェックが行われます。現在、OracleはDaonをサポートしています。

コンセプト(ベータ)

アイデンティティ検証(IDV):ライブ・セルフィーを政府発行のIDドキュメントと照合して、ユーザーのアイデンティティを証明する1回かぎりのプロセス。これは、サードパーティ・プロバイダを介して実行されます。

Facial Biometrics:セキュアな生体認証テンプレートを作成するために、ユーザー独自の顔特性を取得するプロセス。このテンプレートは、初期登録および後続の検証チェックに使用されます。IAMの顔の生体認証は、OCIネイティブの機能です。

Continuous Workforce Verification (CWV):ユーザーのアイデンティティが顔の生体認証を使用して定期的にチェックされ、認可されたユーザーがまだアカウントを操作していることが保証される継続的なセキュリティ状態。

アイデンティティ検証プロバイダ: OCI IAMに統合されたサードパーティ・サービス(Daonなど)で、政府発行のドキュメントを検証して初期アイデンティティ・プルーフィングを処理します。

居住性検出:ユーザーが物理的に存在し、写真、ビデオまたはマスクを使用してシステムをスプーフィングしていないことを確認するために、顔の生体認証スキャン中に使用されるテクノロジ。これには、頭部の傾きや点滅などのプロンプトが含まれます。

インライン登録:管理者によって要求され、サインイン・フロー内で直接発生する登録プロセス。ユーザーは、通常、アプリケーションにアクセスする前に完了する必要があります。

継続的なワークフォース検証プロセス

このプロセスには、次の2つの主要なペルソナが含まれます。

  • 管理者:アイデンティティ検証プロバイダを構成し、ユーザーがアイデンティティを検証する必要がある時期と頻度を定義する継続的ワークフォース検証ポリシーを設定します。
  • ユーザー:政府発行のIDと顔でIDを検証して、サービスに登録します。その後、管理者が定義した定期的な顔の生体認証チェックを完了します。

管理者ワークフロー(ベータ)

  1. Example Inc.の管理者は、まずDaonなどのサポートされているID検証プロバイダとの商用関係を確立します。
  2. OCIコンソールでは、管理者はアイデンティティ・ドメインに移動し、クライアントIDやシークレットなどの資格証明を使用してアイデンティティ検証プロバイダとしてDaonを構成し、アクティブ化します。
  3. 管理者は、継続的ワークフォース検証ポリシーを作成し、影響を受けるユーザー・グループを指定するルールを追加します。
  4. ルール内で、管理者は顔の生体認証を有効にし、定期的なチェック(たとえば、7~14日ごと)および再登録(たとえば、6~12か月ごと)の頻度を設定します。

Oracleでは、アイデンティティ保証を強化するために、アイデンティティ検証とバイオメトリクスを組み合せることをお薦めします。ただし、各機能はオプションであり、別々に使用できます。管理者は、組織固有のニーズに応じて、アイデンティティ検証および顔の生体認証または顔の生体認証のみを使用して、継続的ワークフォース検証を柔軟に構成できます。アイデンティティ検証と顔の生体認証の両方でインライン登録が有効になっている場合、IDVプロセスが最初にプロンプトされ、次に生体認証が行われます。

管理者は、必須のインライン・オプションとして登録を指定したり、ユーザーがスキップして検証頻度などの設定を定義できる機能を指定することもできます。

エンドユーザー・ワークフロー(ベータ)

  1. 初期登録: 従業員Johnは、認証後(継続的なワークフォース検証ポリシーがインライン登録用に構成されている場合)、または「自分のプロファイル」からインラインに登録するよう求められます。これは1回かぎりのプロセスです。
    1. アイデンティティ検証: Johnのコンピュータ画面にQRコードが表示されます。彼はスマートフォンでスキャンし、Daonで身元確認プロセスを開始します。彼はライブの自分撮りを行い、政府発行のIDをスキャンします。Daonは文書の真正性を検証し、セルフィーが文書内の写真と一致することを確認します。
    2. 生体認証登録: JohnはコンピュータのWebブラウザにリダイレクトされます。彼は顔をフレームに配置し、頭を傾けるなどの完全な無作為化ライブプロンプトを促されます。顔データが取得され、生体認証テンプレートが作成され、登録を完了するために安全に保存されます。
  2. 継続的な検証: 2週間後、Johnがアプリケーションにアクセスすると、標準の資格証明でサインインします。その後すぐに、CWVは顔の生体認証の課題を開始します。彼は顔の位置を決め、活力プロンプトを完了し、システムは保存されたテンプレートに対して身元を確認し、アクセス権を付与します。

ユースケース: Example IncがIDVとCWV(ベータ)を活用する方法の例

このユース・ケースでは、Example Incが継続的ワークフォース検証(CWV)のためにID検証ベンダーDaonをどのように利用しているかを紹介します。管理者は、アイデンティティ検証プロバイダと統合するようにIAMを構成し、ユーザーの定期的な検証のために継続的なワークフォース検証ポリシーを作成します。Employee of Example Inc.は、政府発行のIDでIDを検証し、顔の生体認証に登録し、定期的なIDチェックによって再検証されます。

管理構成(ベータ)

  1. Example Inc.の管理者は、アイデンティティ・ドメインに移動し、アイデンティティ検証プロバイダDaonを構成します。
  2. 管理者は、ベンダーから提供された資格証明(クライアントID、クライアント・シークレット、検出URL)を入力し、「サポートされている請求」をアイデンティティ・ドメイン属性にマップして、「作成」を選択します。アイデンティティ検証プロバイダが作成されます。次に、管理者がアイデンティティ検証プロバイダをアクティブ化します。
  3. 管理者は、継続的なワークフォース検証ポリシーを作成し、ルールを作成します。ルールでは、管理者は条件フィールドに前提条件を設定し、パスキーを最初の認証ファクタとして、Oracle Mobile Authenticator (OMA)を2番目のファクタとして設定し、ルールによって評価されるユーザー・グループを選択します。
  4. Example Inc.の管理者は、その後、顔の生体認証を有効にし、7日から14日の間の無作為化された間隔で顔の生体認証チェックをスケジュールし、6から12か月間の再登録頻度をスケジュールします。
  5. 管理者はアイデンティティ検証を有効にし、ステップ2で作成したプロバイダを選択します。
  6. 定義すると、ルールで指定された条件を満たすユーザーのアイデンティティ・ドメイン全体でポリシーが適用されます。

ユーザー登録(ベータ)

  1. 従業員Johnが、新しい要件を通知する電子メールを受信します。彼はプライマリおよび2番目の要素でサインインし、生体認証に登録するよう求められます。サインイン中に生体認証に登録するように求められない場合、ユーザーはマイログインプロファイルにサインインし、[生体認証に登録]を選択します。
  2. ユーザーは条件を確認して受け入れます。

  3. アイデンティティ検証

    1. コンピュータの画面にQRコードが表示されます。Johnはスマートフォンでスキャンし、DaonでID検証を開始します。Daonの構成によっては、JohnにDaonアプリケーションまたはExample Inc.が提供するアプリケーションのダウンロードを求められ、アイデンティティ検証が完了する場合があります。
    2. ジョンは自撮り。Daonは、ユーザーの自撮りが生きているかどうかを検証します。
    3. その後、彼は自分の電話を使って政府発行のIDをスキャンします。Daonは文書の真正性を検証し、セルフィーが文書内の写真と一致することを確認します。
    4. 成功メッセージは、彼の身元が確認されたことを示します。

  4. 顔の生体認証登録

    1. Johnは、コンピュータのWebブラウザにリダイレクトされます。
    2. ブラウザは、Webカメラへのアクセスを要求します。彼は、自分の顔をフレームに配置し、ユーザーの頭を右に傾けるなど、無作為化された生計プロンプトを完了するように求められます。これらのステップは、スプーフィングおよびリプレイ攻撃から保護します。
    3. システムは、彼の顔データを取得し、生体認証テンプレートを作成し、それを安全に保管します。彼の登録は完了しました。

継続的要員検証(ベータ)

  1. 登録すると、定期的な顔の生体認証がバックグラウンドでシームレスに行われます。たとえば、2週間後、エンタープライズ・アプリケーションにアクセスすると、Johnは標準のパスキー・ログインを完了し、2番目の要素としてOracle Mobile Authenticator (OMA)が続きます。
  2. その後すぐに、CWVは顔の生体認証チャレンジを開始します。Johnは、顔をフレーム内に配置し、無作為化された生活のプロンプトを完了し、安全に保存された生体認証テンプレートに対して自分のアイデンティティを検証します。
  3. Johnにはアプリケーションへのアクセス権が付与されます。検証イベントは監査目的でログに記録されます。