NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

こんにちは、丸山満彦です。

NISTがNISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景を公表し、意見募集をしていますね。。。

● NIST - ITL

・2021.06.09 NISTIR 8336 (Draft) Background on Identity Federation Technologies for the Public Safety Community

Announcement	発表
NIST Special Publication 800-63-3 defines identity federation as “a process that allows the conveyance of identity and authentication information across a set of networked systems.” Identity federation technologies can help public safety organizations (PSOs) to share information with each other more easily while also protecting that data from unauthorized access. Identity federation technologies can also help PSOs transition services to the cloud and facilitate the use of mobile devices such as smartphones.	NIST SP 800-63-3 では、ID連携を「ネットワーク化された一連のシステムにおいて、IDおよび認証情報の伝達を可能にするプロセス」と定義しています。ID連携技術は、公共安全機関（PSO）が不正なアクセスからデータを保護しつつ、より簡単に情報を共有するのに役立ちます。また、ID連携技術は、PSOがサービスをクラウドに移行したり、スマートフォンなどのモバイルデバイスの利用を促進するのにも役立ちます。
This draft report provides PSOs with a basic primer on identity federation, and it is intended to aid PSOs in adopting identity federation technologies. PSOs considering identity federation technologies are encouraged to use the guidelines in this NISTIR. This report was developed in joint partnership between the NCCoE and the Public Safety Communications Research (PSCR) Division at NIST.	本報告草案は、PSOにID連携に関する基本的な入門書を提供し、 PSOがID連携技術を採用する際に役立つことを目的としています。ID連携技術を検討しているPSOは、このNISTIRのガイドラインを利用することが推奨されます。本レポートは、NCCoEとNISTのPublic Safety Communications Research (PSCR)部門の共同パートナーシップにより作成されました。
Abstract	概要
This report provides the public safety and first responder (PSFR) community with a basic primer on identity federation—a form of trust relationship and partnership involving the verification of a claimed identity. Identity federation technologies can help public safety organizations (PSOs) to share information with each other more easily while also protecting that data from unauthorized access. Identity federation technologies can also help PSOs transition services to the cloud and facilitate the use of mobile devices such as smartphones. The intent of this report is to aid the PSFR community in adopting identity federation technologies, with different portions of the report aimed at general audiences, technically capable readers, and federation technology implementers.	本報告は、公共安全および初動対応者（PSFR）コミュニティに ID 連携の基本的 な入門書を提供します。ID 連携は、主張された ID の検証を含む信頼関係およびパートナ ーシップの形態である。ID連携技術は、公共安全機関（PSO）が不正アクセスからデータを保護しながら、互いに情報をより簡単に共有するのに役立ちます。また、ID 連携技術は、PSO がサービスをクラウドに移行し、スマートフォンなどのモバイ ル機器の使用を促進するのにも役立ちます。本報告の目的は、PSFRコミュニティがID連携技術を採用することを支援することであり、一般読者、技術的能力のある読者、および連携技術の実装者を対象として、報告のさまざまな部分を提供します。

 

・[PDF] NISTIR 8336 (Draft)

Executive Summary	エグゼクティブ・サマリー
1 Introduction	1 はじめに
1.1 Benefits of Identity Federation	1.1 ID連携の利点
1.2 How to Use This Document	1.2 この文書の使用方法
2 Identity Federation Concepts	2 ID連携の概念
2.1 Basic Terminology	2.1 基本的な用語
2.2 Federation Protocols	2.2 連携プロトコル
2.3 Federation Participant Responsibilities	2.3 連携参加者の責任
2.4 Federation Benefits	2.4 連携の利点
2.5 IdP Discovery	2.5 IdP ディスカバリー
3 Identity Federation Technical Concepts	3 ID連携の技術的概念
3.1 Federation Protocols	3.1 連携プロトコル
3.2 Trust Frameworks	3.2 信頼フレームワーク
3.2.1 Existing Public Safety Trust Frameworks	3.2.1 既存の公共安全トラストフレームワーク
3.3 Message Security	3.3 メッセージ・セキュリティ
3.4 Assertion Bindings and Assurance Levels	3.4 アサーション・バインディングおよび保証レベル
3.5 Federation and Direct Authentication	3.5 連携と直接認証
3.6 Other Federation Security Considerations	3.6 その他の連携セキュリティに関する検討事項
3.7 Implementation Considerations	3.7 実装に関する検討事項
4 SAML 2.0	4 SAML 2.0
4.1 SAML Assertions	4.1 SAMLアサーション
4.2 SAML Metadata	4.2 SAMLメタデータ
4.3 SAML Protocols	4.3 SAMLプロトコル
4.4 SAML Bindings	4.4 SAMLバインディング
4.5 Standard SAML Profiles	4.5 標準的なSAMLプロファイル
4.6 Summary of SAML Terminology	4.6 SAML用語のまとめ
5 OpenID コネクト1.0	5 OpenIDコネクト1.0
5.1 OpenID コネクトTerminology	5.1 OpenIDコネクトの用語
5.2 OpenID コネクトAssertions	5.2 OpenIDコネクトのアサーション
5.3 OpenID Clients	5.3 OpenIDクライアント
5.4 OpenID コネクトProtocol and Authentication Flows	5.4 OpenIDコネクトプロトコルと認証フロー
6 Conclusion	6 まとめ
References	参考文献

 

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.03 NISTIR 8334 (Draft) 緊急時初動対応者の認証のためのモバイル機器のバイオメトリクスの利用

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証（PIV）について

・2020.09.24 米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

---

 

エグゼクティブ・サマリー　↓↓↓↓↓

　

　

Executive Summary	要旨
Public safety organizations (PSOs) face technology challenges that hinder their ability to accomplish their missions. A report from 2015 [1] explained one of these challenges:	公共安全機関（PSO）は、そのミッションを達成する能力を妨げる技術的な課題に直面しています。2015年の報告書[1]では、これらの課題の1つが説明されています。
“In the explosion of technology supporting public mobility and ubiquitous connectivity, law enforcement, justice, and public safety agencies have been left behind: great difficulty still exists in making the connection to the last mile...the police officer, deputy sheriff, firefighter, and paramedic in a vehicle or in the field. These professionals—our colleagues—need immediate access to critical information from the wide variety of systems technology available (particularly portable computers, tablets, and smartphones) to make the best possible decisions and protect themselves and the public. Hand in hand with access challenges is the imperative to ensure robust internal controls on security, including factoring in today’s ‘Bring Your Own Device’ (BYOD) environment.”	公共のモビリティとユビキタス接続をサポートするテクノロジーが爆発的に普及する中で、法執行機関、司法機関、公共安全機関は取り残されています。車両や現場にいる警察官、副保安官、消防士、救急隊員など、ラストマイルへの接続には大きな困難が伴います。これらの専門家、つまり私たちの同僚は、可能な限り最善の判断を下し、自分自身と公衆を守るために、多種多様なシステム技術（特にポータブルコンピュータ、タブレット、スマートフォン）から重要な情報に即座にアクセスする必要があります。アクセスの問題と同時に、今日の BYOD"（Bring Your Own Device）環境を考慮に入れて、セキュリティに関する強固な内部統制を確保することが必要です」。
Today most PSOs do not have immediate access to information shared by other agencies. A primary reason for that is the lack of interoperable identities and credentials for public safety and first responders (PSFRs). When an agency is responding to a request for sensitive information from an agency in a different jurisdiction, the lack of interoperability between the information systems makes it difficult to validate the identity of the person making the information request and authorize the access.	今日、ほとんどのPSOは、他の機関が共有する情報にすぐにアクセスできません。その主な理由は、公共の安全と第一応答者（PSFR）のための相互運用可能なIDとクレデンシャルが存在しないことにあります。ある機関が別の管轄区域の機関から機密情報の要求を受けた場合、情報システム間の相互運用性がないため、情報要求者の身元を確認し、アクセスを承認することが困難になります。
To address these challenges, all PSOs need to improve their identity, credential, and access management (ICAM) capabilities. In a 2019 workshop conducted by the National Institute of Standards and Technology (NIST), PSO leaders and subject matter experts defined the following vision statement for identity sharing in the PSFR community:	こうした課題に対処するために、すべてのPSOは、ID、クレデンシャル、アクセス管理（ICAM）能力を向上させる必要があります。米国標準技術研究所（NIST）が実施した2019年のワークショップでは、PSOのリーダーとサブジェクト・マター・エキスパートが、PSFRコミュニティにおけるID共有のためのビジョン・ステートメントを以下のように定義しました。
Getting the correct data to the correct people at the correct time with the correct protections and only if it is for the proper reason and in an efficient manner.	適切なデータを、適切な人に、適切なタイミングで、適切な保護で、適切な理由で、効率的な方法でのみ取得すること。
To help achieve this, many PSOs have expressed interest in adopting identity federation technologies. These technologies enable PSOs to take advantage of identity verification services that external service providers offer. Identity federation technologies can help PSOs to share information with each other more easily while also protecting that data from unauthorized access. Identity federation usage can also reduce overhead expenses for PSOs.	これを達成するために、多くのPSOがID連携技術の採用に関心を示している。これらの技術により、PSO は外部のサービス・プロバイダーが提供する ID 検証サービスを利用することができる。ID連携技術は、PSOが情報をより簡単に共有することを可能にし、同時にデータを不正なアクセスから保護することができます。また、ID連携の利用により、PSO の間接費を削減することができる。
This report provides the PSFR community with a primer on identity federation, which should aid PSOs in understanding and adopting identity federation technologies. Different portions of the report are written for general audiences, technically capable readers, and federation technology implementers. The report recommends that the OpenID Connect 1.0 federated authentication protocol should be the default choice for any new identity federation technology implementations, and it provides considerable technical detail in the appendices on commonly used federation protocols for readers with that level of interest.	本報告、PSFRコミュニティにID連携の入門書を提供し、 PSOがID連携技術を理解し採用するのに役立つものである。報告のさまざまな部分は、一般読者、技術的に有能な読者、および連携技術の実装者向けに書かれている。報告では、OpenIDコネクト1.0連携認証プロトコルを新しいID連携技術の実装のためのデフォルトの選択肢とすることを推奨しており、そのレベルの関心を持つ読者のために、一般的に使用されている連携プロトコルの付録でかなりの技術的詳細を提供している。
[1] ICAM National Strategy Summit (2015) Identity, Credential, and Access Management (ICAM): Wireless Mobility in Law Enforcement, Justice, and Public Safety National Strategy Summit. (U.S. Department of Homeland Security, Washington, DC).	[1] ICAM National Strategy Summit (2015) ID、クレデンシャル、アクセス管理 (ICAM): 法執行機関、司法、公共安全における無線モビリティー国家戦略サミット。米国国土安全保障省、ワシントンDC）。