NIST SP 1800-13 モバイルアプリケーションのシングルサインオン:公共安全の初動対応者のための認証の改善
こんにちは、丸山満彦です。
NISTが、SP 1800-13 モバイルアプリケーションのシングルサインオン:公共安全の初動対応者のための認証の改善
を公表していますね。。。
● NIST - ITL
・2021.08.25 SP 1800-13 Mobile Application Single Sign-On: Improving Authentication for Public Safety First Responders
| SP 1800-13 Mobile Application Single Sign-On: Improving Authentication for Public Safety First Responders | SP 1800-13 モバイル・アプリケーションのシングル・サイン・オン:公共安全の初動対応者のための認証の改善 |
| Abstract | 概要 |
| On-demand access to public safety data is critical to ensuring that public safety and first responder (PSFR) personnel can deliver the proper care and support during an emergency. This necessitates heavy reliance on mobile platforms while in the field, which may be used to access sensitive information. However, complex authentication requirements can hinder the process of providing emergency services, and any delay—even seconds—can become a matter of life or death. In collaboration with NIST’S Public Safety Communications Research (PSCR) Division and industry stakeholders, the NCCoE aims to help PSFR personnel efficiently and securely gain access to mission data via mobile devices and applications. | 公共安全データへのオンデマンド・アクセスは、緊急時に公共安全・初動対応者(public safety and first responder: PSFR)が適切なケアとサポートを提供できるようにするために不可欠です。そのためには、現場でのモバイル・プラットフォームへの依存度が高く、機密情報へのアクセスに使用される可能性があります。しかし、複雑な認証要件は、緊急サービスを提供するプロセスを妨げる可能性があり、たとえ数秒でも遅れると生死に関わる問題になります。NCCoEは、NISTの公共安全通信研究部門(Public Safety Communications Research: PSCR)や業界関係者と協力して、PSFRの要員がモバイル機器やアプリケーションを介してミッションデータに効率的かつ安全にアクセスできるようにすることを目指しています。 |
| This practice guide describes a reference design for multifactor authentication (MFA) and mobile single sign-on (MSSO) for native and web applications while improving interoperability among mobile platforms, applications, and identity providers, regardless of the application development platform used in their construction. This guide discusses major architecture design considerations, explains security characteristics achieved by the reference design, and maps the security characteristics to applicable standards and security control families. For parties interested in adopting all or part of the reference architecture, this guide includes a detailed description of the installation, configuration, and integration of all components. | 本実践ガイドは、ネイティブアプリケーションおよびウェブアプリケーションの多要素認証(MFA)およびモバイル・シングル・サインオン(MSSO)のリファレンスデザインについて説明するとともに、構築に使用されたアプリケーション開発プラットフォームにかかわらず、モバイルプラットフォーム、アプリケーション、およびアイデンティティプロバイダ間の相互運用性を向上させるものです。本ガイドでは、アーキテクチャ設計上の主な考慮事項を説明し、リファレンス・デザインによって実現されるセキュリティ特性を解説し、そのセキュリティ特性を適用可能な規格およびセキュリティ・コントロール・ファミリーにマッピングしています。また、リファレンス・アーキテクチャの全部または一部を採用することに関心のある関係者向けに、すべてのコンポーネントのインストール、構成、および統合について詳細に説明しています。 |
・[PDF] SP 1800-13
| Executive Summary | エグゼクティブ・サマリー |
| On-demand access to public safety data is critical to ensuring that public safety and first responders (PSFRs) can protect life and property during an emergency. | 公共安全データへのオンデマンド・アクセスは、緊急時に公共安全と初動対応者(PSFR)が生命と財産を守るために不可欠です。 |
| This public safety information, often needing to be accessed via mobile or portable devices, routinely includes sensitive information, such as personally identifiable information, law enforcement sensitive information, and protected health information. | このような公共安全情報は、モバイル機器やポータブル機器からアクセスする必要があることが多く、個人を特定できる情報、法執行機関の機密情報、保護された健康情報などの機密情報が含まれていることが一般的です。 |
| Because the communications are critical to public safety and may include sensitive information, robust and reliable authentication mechanisms that do not hinder delivery of emergency services are required. | これらの通信は公共の安全にとって重要であり、機密情報を含む可能性があるため、緊急サービスの提供に支障をきたさない、堅牢で信頼性の高い認証メカニズムが必要です。 |
| In collaboration with the National Institute of Standards and Technology (NIST) Public Safety Communications Research laboratory and industry stakeholders, the National Cybersecurity Center of Excellence (NCCoE) at NIST built a laboratory environment to demonstrate standardsbased technologies that can enable PSFRs to gain access to public safety information efficiently and securely by using mobile devices. | NISTのNational Cybersecurity Center of Excellence(NCCoE)は、米国国立標準技術研究所(NIST)の公共安全通信研究室や業界関係者と協力して実験室環境を構築し、モバイル機器を使ってPSFRが公共安全情報に効率的かつ安全にアクセスできるようにするための標準ベースの技術を実証しました。 |
| The technologies demonstrated are currently available and include (1) single sign-on (SSO) capabilities that reduce the number of credentials that need to be managed by public safety personnel, and reduce the time and effort that individuals spend authenticating themselves; (2) identity federation that can improve the ability to authenticate personnel across public safety organization (PSO) boundaries; and (3) multifactor authentication (MFA) that enables authentication with a high level of assurance. | 実証された技術は現在利用可能なもので、(1)公共安全の担当者が管理する必要のある認証情報の数を減らし、個人が自分自身を認証するために費やす時間と労力を削減するシングル・サインオン(SSO)機能、(2)公共安全組織(PSO)の境界を越えて担当者を認証する能力を向上させることができるアイデンティティ・フェデレーション、(3)高い保証レベルの認証を可能にする多要素認証(MFA)などがあります。 |
| This NIST Cybersecurity Practice Guide describes how organizations can implement these technologies to enhance public safety mission capabilities by using standards-based commercially available or open-source products. The technologies described facilitate interoperability among diverse mobile platforms, applications, relying parties, identity providers (IdPs), and public-sector and private-sector participants, regardless of the application development platform used in their construction. | この『NIST Cybersecurity Practice Guide』では、標準規格に準拠した市販製品やオープンソース製品を使用して、組織がこれらの技術を実装し、公共安全のミッション機能を強化する方法を説明しています。記載されている技術は、構築に使用されたアプリケーション開発プラットフォームに関係なく、多様なモバイルプラットフォーム、アプリケーション、依拠当事者、IDプロバイダ(IdP)、公共部門および民間部門の参加者間の相互運用性を促進します。 |
目次はこちら...
Supplemental Material:
・ SP 1800-13 volumes and project homepage (other)
Related NIST Publications:
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS
・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景
・2021.06.03 NISTIR 8334 (Draft) 緊急時初動対応者の認証のためのモバイル機器のバイオメトリクスの利用
・2020.11.25 米国 国土安全保障省 国土安全保証諮問委員会の最終報告書(バイオメトリックス、経済安全保障、緊急技術とか・・・)
・2020.09.30 NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices
・2020.08.26 NIST クラウドコンピューティング環境でのフォレンジックの課題についての整理
・2020.05.16 NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices
・
目次
| 1 Summary | 1 概要 |
| 1.1 Challenge | 1.1 チャレンジ |
| 1.1.1 Easing User Authentication Requirements | 1.1.1 ユーザーの認証要件の緩和 |
| 1.1.2 Improving Authentication Assurance | 1.1.2 認証保証の向上 |
| 1.1.3 Federating Identities and User Account Management | 1.1.3 識別情報の統合とユーザーアカウントの管理 |
| 1.2 Solution | 1.2 ソリューション |
| 1.3 Benefits | 1.3 メリット |
| 2 How to Use This Guide | 2 本ガイドの使用方法 |
| 2.1 Typographic Conventions | 2.1 表記規則 |
| 3 Approach | 3 アプローチ |
| 3.1 Audience | 3.1 オーディエンス |
| 3.2 Scope | 3.2 対象範囲 |
| 3.3 Assumptions | 3.3 前提条件 |
| 3.4 Business Case | 3.4 ビジネスケース |
| 3.5 Risk Assessment | 3.5 リスク評価 |
| 3.5.1 PSFR Risks | 3.5.1 PSFRのリスク |
| 3.5.2 Mobile Ecosystem Threats | 3.5.2 モバイルエコシステムへの脅威 |
| 3.5.3 Authentication and Federation Threats | 3.5.3 認証とフェデレーションの脅威 |
| 3.6 Systems Engineering | 3.6 システムエンジニアリング |
| 3.7 Technologies | 3.7 テクノロジー |
| 4 Architecture | 4 アーキテクチャ |
| 4.1 General Architectural Considerations | 4.1 アーキテクチャに関する一般的な検討事項 |
| 4.1.1 SSO with OAuth 2.0, IETF RFC 8252, and AppAuth Open-Source Libraries | 4.1.1 OAuth 2.0、IETF RFC 8252、およびAppAuthオープンソース・ライブラリによるSSO |
| 4.1.2 Identity Federation | 4.1.2 アイデンティティ・フェデレーション |
| 4.1.3 FIDO and Authenticator Types | 4.1.3 FIDOとオーセンティケーターの種類 |
| 4.2 High-Level Architecture | 4.2 ハイレベル・アーキテクチャ |
| 4.3 Detailed Architecture Flow | 4.3 詳細なアーキテクチャの流れ |
| 4.3.1 SAML and U2F Authentication Flow | 4.3.1 SAMLとU2Fの認証フロー |
| 4.3.2 OpenID Connect and UAF Authentication Flow | 4.3.2 OpenID ConnectとUAFの認証フロー |
| 4.4 Single Sign-On with the OAuth Authorization Flow | 4.4 OAuth認証フローによるシングルサインオン |
| 4.5 Application Developer Perspective of the Build | 4.5 アプリケーション開発者の視点での構築 |
| 4.6 Identity Provider Perspective of the Build | 4.6 アイデンティティ・プロバイダの視点から見た構築物 |
| 4.7 Token and Session Management | 4.7 トークンとセッションの管理 |
| 5 Security Characteristic Analysis | 5 セキュリティ特性の分析 |
| 5.1 Assumptions and Limitations | 5.1 前提条件と制限事項 |
| 5.2 Threat Analysis | 5.2 脅威の分析 |
| 5.2.1 Mobile Ecosystem Threat Analysis | 5.2.1 モバイルエコシステムの脅威の分析 |
| 5.2.2 Authentication and Federation Threat Analysis | 5.2.2 認証とフェデレーションの脅威の分析 |
| 5.3 Scenarios and Findings | 5.3 シナリオと調査結果 |
| Appendix A Mapping to Cybersecurity Framework Core | 附属書A サイバーセキュリティフレームワークコアへのマッピング |
| Appendix B Assumptions Underlying the Build | 附属書B 構築のための前提条件 |
| B.1 Identity Proofing | B.1 アイデンティティ認証 |
| B.2 Mobile Device Security | B.2 モバイルデバイスセキュリティ |
| B.3 Mobile Application Security | B.3 モバイルアプリケーションセキュリティ |
| B.4 Enterprise Mobility Management | B.4 エンタープライズ・モビリティ・マネジメント |
| B.5 FIDO Enrollment Process | B.5 FIDO エンロールメント・プロセス |
| Appendix C Architectural Considerations for the Mobile Application Single Sign-On Build | 附属書C モバイル・アプリケーション・シングル・サインオン構築のためのアーキテクチャ上の検討事項 |
| C.1 SSO with OAuth 2.0, IETF RFC 8252, and AppAuth Open-Source Libraries | C.1 OAuth 2.0、IETF RFC 8252、およびAppAuthオープンソース・ライブラリによるSSO |
| C.1.1 Attributes and Authorization | C.1.1 属性と権限の付与 |
| C.2 Federation | C.2 フェデレーション |
| C.3 Authenticator Types | C.3 オーセンティケーターの種類 |
| C.3.1 UAF Protocol | C.3.1 UAFプロトコル |
| C.3.2 U2F Protocol | C.3.2 U2Fプロトコル |
| C.3.3 FIDO 2 | C.3.3 FIDO 2 |
| C.3.4 FIDO Key Registration | C.3.4 FIDOキー登録 |
| C.3.5 FIDO Authenticator Attestation | C.3.5 FIDOオーセンティケーターの認証 |
| C.3.6 FIDO Deployment Considerations | C.3.6 FIDO 導入時の考慮事項 |
| Appendix D Acronyms | 附属書D 頭字語 |
| Appendix E References | 附属書E 参考文献 |
| NIST SPECIAL PUBLICATION 1800-13C | NIST SP 1800-13C |
| 1 Introduction | 1 はじめに |
| 1.1 Practice Guide Structure | 1.1 プラクティスガイドの構成 |
| 1.2 Build Overview | 1.2 ビルドの概要 |
| 1.2.1 Usage Scenarios | 1.2.1 使用シナリオ |
| 1.2.2 Architectural Overview | 1.2.2 アーキテクチャの概要 |
| 1.2.3 General Infrastructure Requirements | 1.2.3 一般的なインフラストラクチャ要件 |
| 1.3 Typographic Conventions | 1.3 組版規約 |
| 2 How to Install and Configure the Mobile Device | 2 モバイルデバイスのインストールおよび設定方法 |
| 2.1 Platform and System Requirements | 2.1 プラットフォームとシステムの要件 |
| 2.1.1 Supporting SSO on Android Devices | 2.1.1 AndroidデバイスでのSSOのサポート |
| 2.1.2 Supporting SSO on iOS Devices | 2.1.2 iOSデバイスでのSSOのサポート |
| 2.1.3 Supporting FIDO U2F on Android Devices | 2.1.3 AndroidデバイスでのFIDO U2Fのサポート |
| 2.1.4 Supporting FIDO U2F on iOS Devices | 2.1.4 iOSデバイスでのFIDO U2Fのサポート |
| 2.1.5 Supporting FIDO UAF | 2.1.5 FIDO UAFのサポート |
| 2.2 How to Install and Configure the Mobile Applications | 2.2 モバイルアプリケーションのインストールと設定方法 |
| 2.2.1 How to Install and Configure SSO-Enabled Applications | 2.2.1 SSO対応アプリケーションのインストールと設定の方法 |
| 2.2.2 How to Install and Configure a FIDO U2F Authenticator | 2.2.2 FIDO U2F 認証機能をインストールして設定する方法 |
| 2.2.3 How to Install and Configure a FIDO UAF Client | 2.2.3 FIDO UAFクライアントをインストールして設定する方法 |
| 2.3 How Application Developers Must Integrate AppAuth for SSO | 2.3 アプリケーション開発者がSSOのためにAppAuthを統合する方法 |
| 2.3.1 AppAuth Integration for Android | 2.3.1 AndroidにおけるAppAuthの統合 |
| 2.3.2 AppAuth Integration for iOS | 2.3.2 iOS用のAppAuthの統合 |
| 3 How to Install and Configure the OAuth 2 AS | 3 OAuth 2 ASのインストールと設定方法 |
| 3.1 Platform and System Requirements | 3.1 プラットフォームとシステムの要件 |
| 3.1.1 Software Requirements | 3.1.1 ソフトウェアの要件 |
| 3.1.2 Hardware Requirements | 3.1.2 ハードウェアの要件 |
| 3.1.3 Network Requirements | 3.1.3 ネットワークの要件 |
| 3.2 How to Install the OAuth 2 AS | 3.2 OAuth 2 ASのインストール方法 |
| 3.2.1 Java Installation | 3.2.1 Javaのインストール |
| 3.2.2 Java Post Installation | 3.2.2 Java Postのインストール |
| 3.2.3 PingFederate Installation | 3.2.3 PingFederateのインストール |
| 3.2.4 Certificate Installation | 3.2.4 証明書のインストール |
| 3.3 How to Configure the OAuth 2 AS | 3.3 OAuth 2 ASの設定方法 |
| 3.4 How to Configure the OAuth 2 AS for Authentication | 3.4 OAuth 2 ASの認証の設定方法 |
| 3.4.1 How to Configure Direct Authentication | 3.4.1 ダイレクト認証の設定方法 |
| 3.4.2 How to Configure SAML Authentication | 3.4.2 SAML 認証の設定方法 |
| 3.4.3 How to Configure OIDC Authentication | 3.4.3 OIDC 認証の設定方法 |
| 3.4.4 How to Configure the Authentication Policy | 3.4.4 認証ポリシーを設定するには |
| 4 How to Install and Configure the Identity Providers | 4 アイデンティティ・プロバイダをインストールして設定する方法 |
| 4.1 How to Configure the User Store | 4.1 ユーザーストアを構成する方法 |
| 4.2 How to Install and Configure the SAML Identity Provider | 4.2 SAML アイデンティティ・プロバイダをインストールして構成する方法 |
| 4.2.1 Configuring Authentication to the IdP | 4.2.1 IdP に対する認証の設定 |
| 4.2.2 Configure the SP Connection | 4.2.2 SP 接続の構成 |
| 4.3 How to Install and Configure the OIDC Identity Provider | 4.3 OIDC アイデンティティ・プロバイダをインストールして構成する方法 |
| 4.3.1 Configuring Authentication to the OIDC IdP | 4.3.1 OIDC IdP に対する認証の構成 |
| 4.3.2 Configuring the OIDC Client Connection | 4.3.2 OIDC クライアント接続の設定 |
| 5 How to Install and Configure the FIDO UAF Authentication Server | 5 FIDO UAF認証サーバーのインストールと設定方法 |
| 5.1 Platform and System Requirements | 5.1 プラットフォームとシステム要件 |
| 5.1.1 Hardware Requirements | 5.1.1 ハードウェア要件 |
| 5.1.2 Software Requirements | 5.1.2 ソフトウェアの要件 |
| 5.2 How to Install and Configure the FIDO UAF Authentication Server | 5.2 FIDO UAF認証サーバーのインストール方法と設定方法 |
| 5.3 How to Install and Configure the FIDO UAF Gateway Server | 5.3 FIDO UAF ゲートウェイサーバーのインストール方法と設定方法 |
| 5.4 How to Install and Configure the FIDO UAF Adapter for the OAuth 2 AS | 5.4 OAuth 2 AS用FIDO UAFアダプターのインストールと設定方法 |
| 6 How to Install and Configure the FIDO U2F Authentication Server | 6 FIDO U2F認証サーバーのインストールと設定方法 |
| 6.1 Platform and System Requirements | 6.1 プラットフォームおよびシステム要件 |
| 6.1.1 Software Requirements | 6.1.1 ソフトウェアの要件 |
| 6.1.2 Hardware Requirements | 6.1.2 ハードウェアの要件 |
| 6.1.3 Network Requirements | 6.1.3 ネットワークの要件 |
| 6.2 How to Install and Configure the FIDO U2F Authentication Server | 6.2 FIDO U2F認証サーバーのインストール方法と設定方法 |
| 6.3 How to Install and Configure the FIDO U2F Adapter for the IdP | 6.3 IdP用FIDO U2Fアダプターのインストールと設定方法 |
| 6.3.1 FIDO U2F Registration in Production | 6.3.1 本番でのFIDO U2F登録 |
| 7 Functional Tests | 7 機能テスト |
| 7.1 Testing FIDO Authenticators | 7.1 FIDO オーセンティケーターのテスト |
| 7.2 Testing FIDO Servers | 7.2 FIDO サーバーのテスト |
| 7.3 Testing IdPs | 7.3 IdPのテスト |
| 7.4 Testing the AS | 7.4 ASのテスト |
| 7.5 Testing the Application | 7.5 アプリケーションのテスト |
| Appendix A Abbreviations and Acronyms | 附属書A 略語と頭字語 |
| Appendix B References | 附属書B 参考文献 |
Comments