電子的な身元確認のガイドライン(NIST SP 800-63-3)

NIST(米国国立標準技術研究所)は、1901年に設立され、現在は米国商務省の一部の組織である。
連邦システムの最低要件を含む情報セキュリティの標準とガイドラインである。

NIST SP 800-63-3 Digital Identity Guidelinesでは、以下のように規定されている。

  • IAL (Identity Assurance Level): 身元確認方法のこと。個人の身元を確信を持って決定するための身元確認プロセスの信頼性を示す。IAL は、身元確認の誤りを軽減するために選択される。
  • AAL (Authenticator Assurance Level): 認証方法の信頼性、および認証情報と特定の個人の認証情報の間の結びつきのこと。AAL は、潜在的な認証エラー(すなわち、偽の要求者が不正な識別情報を使用すること)を軽減するために選択される。
  • FAL (Federation Assurance Level): 認証および属性情報を信頼される関係者に伝えるために使用される連携環境におけるアサーションの強度のこと。フェデレーションが認証および属性情報(該当する場合)を依拠当事者に伝えるために使用するアサーション・プロトコルの強度。

身元確認保証レベル (Identity Assurance Level)

身元確認保証レベル
IAL1: IAL1 では、属性がある場合は自己申告か、自己申告したものとして扱われる。
IAL2: リモートまたは対面での身元確認が必要である。IAL2 では、少なくとも SP 800-63A に示される手順を使用して、本人またはリモートで識別属性が確認されることが要求される。
IAL3: 対面での身元確認が必要である。識別属性は、SP 800-63A に記述されているように、認可されたクレデンシャル・サービス・プロバイダ(ユーザー認証に使う情報を保護しセキュアな接続を実現するための認証技術を提供する事業者)の担当者によって検証されなければならない。

認証保証レベル (Authenticator Assurance Level)

認証保証レベル
AAL1: 認証要求者は利用者が登録した認証情報・認証デバイスを管理することをある程度保証する。AAL1 は、広範な利用可能な認証技術を使用する単一要素認証を要求する。認証に成功するには、請求者が安全な認証プロトコルを介して認証情報の所有と制御を証明する必要がある。
AAL2: 認証要求者は利用者が登録した認証情報・認証デバイスを管理しているという高い信頼性を提供する。安全な認証プロトコルにより、2つの異なる認証要素の所有と管理の証明が必要である。AAL2以上では、承認された暗号化技術が要求される。
AAL3: 認証要求者は利用者が登録した認証情報・認証デバイスを管理しているという非常に高い信頼性を提供する。AAL3での認証は、暗号プロトコルによる鍵の所持の証明に基づく。AAL3はAAL2と同様であるが、検証者のなりすましに対する耐性を備えた「ハード」な暗号認証装置(ハードウェアトークン等)を必要とする。

フェデレーション保証レベル (Federation Assurance Level)

フェデレーション保証レベル
FAL1: IDプロバイダ(IdP)からベアラアサーションを受信することを依存者に許可する。IdP は承認された暗号を使用してアサーションに署名する必要がある。
FAL2: 依拠当事者が復号化できる唯一の当事者であるように、承認された暗号を使用してアサーションを暗号化することを要件として追加している。
FAL3: 利用者がアサーションで参照される暗号鍵を所有していることの証明を、アサーション自体と共に提示することを要求する。アサーションは、承認された暗号を使用して署名され、承認された暗号を使用して依拠当事者に暗号化されなければならない。

参考:https://www.jipdec.or.jp/library/report/20171127.html

タイトルとURLをコピーしました