NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

こんにちは、丸山満彦です。

NISTがNISTIR 8335 (Draft) 公共安全機関のためのIDaaS (Identity as a Seervece) を公表し、意見募集をしていますね。。。

● NIST - ITL

・2021.06.16 NISTIR 8335 (Draft) Identity as a Service for Public Safety Organizations

Announcement	発表
Identity as a service (IDaaS) is when a company offers identity, credential, and access management (ICAM) services to customers through a software-as-a-service (SaaS) cloud-service model. Public safety organizations (PSOs) could potentially reduce costs and adopt new standards and authenticators more easily by using IDaaS to provide authentication services for their own applications. This would allow PSOs to offload some or most of their authentication responsibilities to the IDaaS provider.	IDaaS（Identity as a Service）とは、企業がSaaS（Software-as-a-Service）のクラウドサービスモデルを通じて、アイデンティティ、クレデンシャル、およびアクセス管理（ICAM）のサービスを顧客に提供することです。公共安全機関（PSO）は、IDaaSを利用して自社のアプリケーションに認証サービスを提供することで、コストを削減し、新しい規格や認証機関をより簡単に導入できる可能性があります。これにより、PSO は、認証に関する責任の一部または大部分を IDaaS プロバイダに委ねることができます。
This report informs PSOs about IDaaS and how they can benefit from it. It also lists questions that PSOs can ask IDaaS providers when evaluating their services to ensure the PSOs’ authentication needs are met and the risk associated with authentication is mitigated properly. PSOs considering IDaaS usage are encouraged to use this NISTIR. This report was developed in joint partnership between the National Cybersecurity Center of Excellence (NCCoE) and the Public Safety Communications Research Division (PSCR) at NIST.	本レポートでは、PSOにIDaaSについて説明し、どのようなメリットがあるのかを解説しています。また、PSOの認証ニーズが満たされ、認証に関連するリスクが適切に軽減されるように、PSOがIDaaSプロバイダーのサービスを評価する際に尋ねることができる質問も掲載しています。IDaaSの利用を検討しているPSOは、このNISTIRを利用することをお勧めします。本レポートは、NISTのNational Cybersecurity Center of Excellence (NCCoE)とPublic Safety Communications Research Division (PSCR)の共同パートナーシップにより作成されました。
Abstract	概要
On-demand access to public safety data is critical to ensuring that public safety and first responder (PSFR) personnel can protect life and property during an emergency. The increasing use of cloud technologies can improve data access but also causes authentication challenges. The objective of this report is to inform public safety organizations (PSOs) about identity as a service (IDaaS) and how they can benefit from using it. This report also lists questions that PSOs can ask IDaaS providers when evaluating their services to ensure that the PSOs’ authentication needs are met and the risk associated with authentication is mitigated properly. ...	公共安全データへのオンデマンド・アクセスは、緊急時に公共安全および初動対応者（PSFR）の人員が生命と財産を保護できるようにするために不可欠です。クラウド技術の利用が進むと、データへのアクセスが改善される一方で、認証に関する課題が生じます。本レポートの目的は、公共安全組織（PSO）にIDaaS（Identity as a Service）についての情報を提供し、それを利用することでどのようなメリットが得られるかを説明することです。また、本レポートでは、PSOの認証ニーズを満たし、認証に関連するリスクを適切に軽減するために、PSOがIDaaSプロバイダーのサービスを評価する際に尋ねることができる質問を掲載しています。...

 

・[PDF] NISTIR 8335 (Draft)

Executive Summary	エグゼクティブ・サマリー
1 Introduction	1 はじめに
1.1 Purpose	1.1 目的
1.2 Scope	1.2 対象範囲
1.3 Report Structure	1.3 レポートの構成
1.4 Report Conventions	1.4 報告書の規約
2 Fundamentals of Authenticators for IDaaS Usage	2 IDaaS利用のための認証子の基礎知識
2.1 Authentication Factors	2.1 認証の要素
2.2 Concepts from the Digital Identity Guidelines	2.2 「デジタルアイデンティティガイドライン」の概念
2.3 Authenticator Types from the Digital Identity Guidelines	2.3 「デジタル・アイデンティティ・ガイドライン」における認証子の種類
2.4 The Strength of Authentication Processes	2.4 認証プロセスの強度
2.4.1 Authenticator Assurance Levels (AALs)	2.4.1 認証機関の保証レベル（AALs）
2.4.2 Authentication Categories from the CJIS Security Policy	2.4.2 CJIS セキュリティ・ポリシーの認証カテゴリ
2.4.3 Authenticator Requirement Differences	2.4.3 認証機能の要件の違い
2.4.4 Biometrics and Authentication	2.4.4 バイオメトリクスと認証
2.4.5 Protecting Secrets	2.4.5 秘密の保護
2.5 Authenticator Type Selection	2.5 オーセンティケータータイプの選択
3 Additional Considerations for IDaaS Adoption	3 IDaaS導入時の追加検討事項
3.1 Risk Assessment and Acceptance	3.1 リスク評価と受容
4 Recommendations for Authenticator Selection	4 認証機能の選択に関する推奨事項
4.1 Memorized Secrets	4.1 記憶された秘密
4.2 Out-of-Band Devices	4.2 アウトオブバンド・デバイス
4.3 Supplemental Authentication Controls	4.3 補足的な認証コントロール
4.4 Single-Factor OTP Device	4.4 単一ファクタのOTPデバイス
4.5 OTPs via SMS	4.5 SMSによるOTP
References	参考文献
List of Appendices	附属書リスト
Appendix A— Fast Identity Online (FIDO) Authentication Capabilities	附属書A-Fast Identity Online（FIDO）の認証機能
A.1 What Is FIDO2?	A.1 FIDO2 とは何か？
A.2 FIDO Authentication Use Cases	A.2 FIDO認証の使用例
A.3 FIDO Authenticator AAL Considerations	A.3 FIDOオーセンティケーターAALの考慮事項
A.4 FIDO Summary and Recommendations	A.4 FIDOの概要と推奨事項
Appendix B— Acronyms and Abbreviations	附属書B-頭字語と略語

 

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2021.06.03 NISTIR 8334 (Draft) 緊急時初動対応者の認証のためのモバイル機器のバイオメトリクスの利用

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証（PIV）について

・2020.09.24 米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

---

 

エグゼクティブ・サマリー　↓↓↓↓↓

 

 

Executive Summary	要旨
Over the past several years, researchers from the National Institute of Standards and Technology (NIST) have worked closely with public safety organizations (PSOs) on a wide array of cybersecurity topics, including wearables, mobile devices, and identity, credential, and access management (ICAM). In 2019, NIST’s National Cybersecurity Center of Excellence and Public Safety Communications Research Division hosted an invitation-only workshop with subject matter experts and decision makers from PSOs to address pressing, community-wide cybersecurity challenges [1]. Workshop participants made recommendations on a vision for data sharing in PSOs and agreed on this vision statement:	過去数年にわたり、米国国立標準技術研究所（NIST）の研究者は、ウェアラブル、モバイルデバイス、アイデンティティ、クレデンシャル、アクセス管理（ICAM）など、さまざまなサイバーセキュリティのトピックについて、公共安全機関（PSO）と緊密に協力してきました。2019年、NISTのNational Cybersecurity Center of ExcellenceとPublic Safety Communications Research Divisionは、PSOの主題専門家や意思決定者を招いた招待制のワークショップを開催し、コミュニティ全体の差し迫ったサイバーセキュリティの課題に取り組みました[1]。ワークショップの参加者は、PSOにおけるデータ共有のビジョンについて提言を行い、以下のビジョン・ステートメントに合意しました。
Getting the correct data to the correct people at the correct time with the correct protections and only if it is for the proper reason and in an efficient manner.	適切なデータを、適切な人に、適切なタイミングで、適切な保護を受けて、適切な理由で、効率的な方法で提供する。
This document builds on the key findings from the workshop and focuses on authentication methods for PSOs. Specifically, PSOs have asked for technical guidance on how cloud solutions can be integrated into existing and new information technology (IT) architectures while aligning with NIST’s Digital Identity Guidelines [2] and the Criminal Justice Information Services (CJIS) Security Policy [3]. This document is intended as a first step in establishing that guidance by examining the topic of identity as a service (IDaaS).	本文書は、このワークショップで得られた重要な知見をもとに、PSOの認証方法に焦点を当てています。具体的には、PSOは、NISTのDigital Identity Guidelines [2]およびCriminal Justice Information Services（CJIS）Security Policy [3]に準拠しながら、クラウドソリューションを既存および新規の情報技術（IT） アーキテクチャに統合する方法について、技術的なガイダンスを求めている。本文書は、IDaaS（Identity as a Service）のトピックを検討することにより、その指針を確立するための第一歩となることを意図しています。
Today, IDaaS providers offer ICAM services, such as authentication, to customers through a software-as-a-service (SaaS) cloud-service model. PSOs could acquire IDaaS to provide authentication services for their own applications. This would allow the PSOs to offload some of their authentication responsibilities to the IDaaS provider.	今日、IDaaS プロバイダは、認証などの ICAM サービスを、SaaS（Software-as-a-Service）クラウド・サービス・モデルを通じて顧客に提供している。PSOは、IDaaSを取得して、自社のアプリケーションに認証サービスを提供することができる。これにより、PSOは自分たちの認証責任の一部をIDaaSプロバイダーに任せることができます。
The following are key recommendations from the report:	以下は、本報告書からの主な提言です。
• Depending on the nature of a public safety application, such as the sensitivity of the data it uses and the types of devices and locations it is accessed from, stronger forms of authentication may be needed. PSOs are encouraged to use resources like the Digital Identity Guidelines [2] and the CJIS Security Policy [3], in addition to the recommendations in this document, for guidance on selecting authentication methods while taking risk into account.	• 公共安全アプリケーションの性質（使用するデータの機密性、アクセスするデバイスや場所の種類など）によっては、より強力な形式の認証が必要となる場合があります。PSOは、リスクを考慮しながら認証方法を選択するためのガイダンスとして、本文書の推奨事項に加えて、「Digital Identity Guidelines」[2]や「CJIS Security Policy」[3]などのリソースを利用することが推奨されます。
• PSOs should perform a risk assessment for all of their applications that might use IDaaS authentication services before selecting an IDaaS provider. This allows PSOs to ask IDaaS providers specific questions about the forms of authentication that they need the provider to support.	• PSO は、IDaaS プロバイダを選択する前に、IDaaS 認証サービスを使用する可能性のあ るすべてのアプリケーションについてリスク・アセスメントを行うべきである。これにより、PSO は、IDaaS プロバイダがサポートする必要のある認証形式について、IDaaS プロバイダに具体的な質問をすることができます。
• Most PSOs are unlikely to want to shift all authentication to the cloud immediately, so they should consider taking a hybrid IT approach—a mix of on-premises/data center and cloud-based authentication services. IDaaS providers typically support this type of deployment with software tools that can synchronize credentials (e.g., password hashes) and/or associated attributes. This allows PSOs to take advantage of IDaaS as they gradually transition from on-premises to cloud.	• ほとんどのPSOは、すべての認証をすぐにクラウドに移行したいとは思わないので、オンプレミス／データ・センターとクラウドベースの認証サービスを組み合わせたハイブリッドITのアプローチを検討すべきです。IDaaSプロバイダーは、通常、認証情報（パスワード・ハッシュなど）や関連する属性を同期させるソフトウェア・ツールを用いて、このタイプの展開をサポートします。これにより、PSOは、オンプレミスからクラウドへと徐々に移行する際に、IDaaSを活用することができます。
[1] National Institute of Standards and Technology (2019) NIST Identity, Credential, and Access Management (ICAM) Workshop Outcomes.
[2] National Institute of Standards and Technology (2017) Digital Identity Guidelines.
[3] Federal Bureau of Investigation (FBI) Criminal Justice Information Services Division (2020) Criminal Justice Information Services (CJIS) Security Policy (Version 5.9).