« 情報セキュリティアンテナ | Main | 内閣官房 個人情報保護・情報連携基盤合同WG »

2011.04.19

NIST National Strategy for Trusted Identities in Cyberspace

 米国のNISTがNational Strategy for Trusted Identities in Cyberspaceを公表していますね。。。

 この文書は日本で議論が進んでいる、国民ID制度の話や、社会保障・税に関わる番号制度についても参考になるのではないでしょうか?
 Identity Ecosystemという言葉がなかなか面白いですね。。。

=====
Guiding Principles
 Identity Solutions will be Privacy-Enhancing and Voluntary
 Identity Solutions will be Secure and Resilient
 Identity Solutions will be Interoperable
 Identity Solutions will be Cost-Effective and Easy To Use
=====

 ネット上での本人認証については、登録段階での本人確認、利用段階での同一性の確認(例えば、パスワードやカードなど)の2つは区別して考える必要がありますね。
 登録段階での本人確認が確実するための手法、利用段階での同一性の確認、それぞれがどの程度確実に行われるのか、ということは重要なポイントだと思います。

 ネット上を考えると、
利用段階での同一性の確認というのは、
・(強力であるが)少数の情報を使って、本人をデジタルに認証しなければならないという点、
・一度認証されてしまうと、その認証が正当なものでるという前提で(連携されたシステムで)すべての取引が行われていくという点
に課題があるのではないかと思っています。
 また、様々なシステムと自動的に連携されていくと、その影響範囲は大きくなっていきますよね。。。
 
 Aさんという人が、ネット上では完全にBさんによって成りすまされている。。。というようなことが起こることはないのか、起こったときにはどのようにしてAさんは救済されるのか。。。
 このような制度を本人の選択性にするとした場合でも、Aさんという人が、利用する前に、リスクを正しく認識して、正しく判断できるのか。。。
 いろいろな問題がまだまだ残っているのではないかと思っていますが、
このあたりは、「国民ID制度の話や、社会保障・税に関わる番号制度」の中で議論されていくのでしょうね。。。
 

 
■White House
・2011.04.15 (Press) Administration Releases Strategy to Protect Online Consumers and Support Innovation and Fact Sheet on National Strategy for Trusted Identities in Cyberspace

National Strategy for Trusted Identities in Cyberspace (NSTIC)

Document

目次
=====Executive Summary
Introduction
Guiding Principles
 Identity Solutions will be Privacy-Enhancing and Voluntary
 Identity Solutions will be Secure and Resilient
 Identity Solutions will be Interoperable
 Identity Solutions will be Cost-Effective and Easy To Use
Vision
Benefits
The Identity Ecosystem
Goals and Objectives
Commitment to Action
 Role of the Private Sector
 Role of the Federal Government
 Role of State, Local, Tribal, and Territorial Governments
 Role of International Partners
 Implementation Roadmap and Federal Government Actions
 Benchmarks
Conclusion
Appendix A – Fair Information Practice Principles (FIPPs)
=====

NSTIC Why We Need it


Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure

目次
=====
Preface
Executive Summary
Table of Contents
Introduction
I. Leading from the Top
II. Building Capacity for a Digital Nation
III. Sharing Responsibility for Cybersecurity
IV. Creating Effective Information Sharing and Incident Response
V. Encouraging Innovation
VI. Action Plans
Appendix A: Bibliography
Appendix B: Methodology
Appendix C: Growth of Modern Communications Technology in the United States and Development of Supporting Legal and Regulatory
Frameworks .
=====

|

« 情報セキュリティアンテナ | Main | 内閣官房 個人情報保護・情報連携基盤合同WG »

Comments

NSTICの本文には言及されてませんが、裏方として本戦略を支えているのが、OMB M-04-04, NIST SP 800-63, Open Identity Trust Framework, Kantara Identity Assurance Framework などなどなので(中の人含めて)、おっしゃっている登録段階での本人確認、利用段階での同一性の確認は十分考慮されていると言っていいと思います。今後の課題は、Google や Yahoo などのIDがどうレベル2以上の保証を得るのか、得たところでどうビジネスモデルを維持するのか(IdPのインセンティブ確保)か、IdPとその受け入れ側の責任分界どうすんのか等々。ここらがクリアされれば、まさしくエコシステムとして回り始めると思います。ここらへんは、丸山先生が前におっしゃっていた危惧でもあります。

Posted by: shingoy | 2011.04.19 22:36

shingoyさん、コメントありがとうございます。

 「登録段階での本人確認、利用段階での同一性の確認は十分考慮されている」と米国の場合はいえるかもしれませんね。。。

 クリアすべき要件が同じであれば、民間の場合は経済的合理性で採用をするかどうかが決まってくることになりますね。つまり、要件を満たすためにかかるコストとそこからidPとしてのビジネスから(直接的、間接的に)得られるベネフィットとのバランスですね。。。

 レベル2以上の保証となれば、それなりの本人確認や同一性の確認が必要となってくるのでそれなりのコストがかかる反面、利用される場面は限定的になっていくので難しいのかもしれません。

 そうなると、民間idPがかなり限定的になり、独占的な状況が生じるかもしれませんね。。。それはそれで、別途問題がでるかもしれません。。。


Posted by: 丸山満彦 | 2011.04.20 10:10

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference NIST National Strategy for Trusted Identities in Cyberspace:

« 情報セキュリティアンテナ | Main | 内閣官房 個人情報保護・情報連携基盤合同WG »