NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証（PIV）

こんにちは、丸山満彦です。

NISTがFIPS 201-3 連邦職員および委託業者のアイデンティティの検証（PIV）を発行しましたね。。。

● NIST -ITL

・2022.01.24 (news) 

NIST Updates FIPS 201 Personal Identity Credential Standard	NIST、個人認証基準FIPS 201を更新
The standard now goes beyond physical ID cards to include electronic tokens and one-time passwords.	物理的なIDカードだけでなく、電子トークンやワンタイムパスワードも含まれるようになりました。
NIST has increased the number of acceptable types of credentials that federal agencies can permit as official digital identity, part of the latest update to Federal Information Processing Standard (FIPS) 201.	NISTは、Federal Information Processing Standard (FIPS) 201の最新の更新の一環として、連邦機関が公的なデジタル・アイデンティティとして許可できるクレデンシャルの種類を増やしました。
To ensure that federal employees have a broader set of modern options for accessing facilities and electronic resources, the National Institute of Standards and Technology (NIST) has increased the number of acceptable types of credentials that federal agencies can permit as official digital identity.	米国国立標準技術研究所（NIST）は、連邦政府職員が施設や電子リソースにアクセスする際の選択肢を広げるために、連邦政府機関が公式のデジタル・アイデンティティとして認められる認証情報の種類を増やしました。
The increase is part of the latest update to Federal Information Processing Standard (FIPS) 201, which specifies the credentials that can be used by federal employees and contractors to access federal sites. The update, formally titled FIPS 201-3: Personal Identity Verification (PIV) of Federal Employees and Contractors, also allows for remote identity proofing and issuing, in addition to doing so in-person as was previously required.	この増加は、連邦政府の職員や契約者が連邦政府のサイトにアクセスする際に使用できる認証情報を規定した連邦情報処理基準（FIPS）201の最新の更新の一環として行われたものです。正式名称を「FIPS 201-3 連邦職員および委託業者のアイデンティティの検証（PIV）」とするこの更新では、これまで必要とされていた対面での認証に加えて、リモートでのID認証および発行も可能になりました。
“We have expanded the set of credentials that can be used for gaining access to federal facilities and also for logging onto workstations and other IT resources,” said Hildegard Ferraiolo, a NIST computer scientist. “It’s not all about PIV cards anymore.”	NISTのコンピュータ・サイエンティストであるヒルデガード・フェライオロ氏は、「連邦施設へのアクセスや、ワークステーションなどのITリソースへのログオンに使用できる認証情報の種類が増えました。もはやPIVカードがすべてではありません」と述べています。
The preceding FIPS standard, version 201-2, came out in 2013 and specified credentials embedded on PIV cards as the primary means for authentication, with limited exceptions for credentials designed for mobile devices that lacked PIV card readers. Millions of PIV cards have been issued to federal employees.	前回のFIPS標準であるバージョン201-2は2013年に発表され、PIVカードに埋め込まれたクレデンシャルを主要な認証手段として規定していましたが、PIVカード・リーダーを持たないモバイル機器用に設計されたクレデンシャルについては限定的な例外がありました。PIVカードは、連邦政府職員に何百万枚も発行されています。
The 201-3 update, the result of a regular review cycle, still specifies that PIV cards can be used but now offers additional options. It keeps the standard aligned with the most recent federal policies, including the Office of Management and Budget’s Memorandum M-19-17 on identity, credential and access management. It also ensures that the standard reflects current technological capabilities and needs, Ferraiolo said.	「定期的な見直しサイクルの結果である 201-3 の更新は、PIV カードの使用を引き続き規定していますが、追加のオプションを提供しています。これにより、ID、クレデンシャルおよびアクセス管理に関する Office of Management and Budget's Memorandum M-19-17 などの最新の連邦政策に沿った規格が維持されます。また、現在の技術的な能力やニーズを反映した規格であることも確認しています」とフェライオロ氏は述べています。
“It has become important to provide more flexibility to agencies in choosing credentials to use for authentication,” she said. “Not all laptop computers are available with built-in PIV card slots, for example, and often, there are cloud-based applications that don’t use public-key infrastructure that PIV cards provide. For these situations we need alternatives.”	彼女は、「認証に使用するクレデンシャルを選択する際に、各政府機関に柔軟性を持たせることが重要になっています。例えば、すべてのラップトップ・コンピュータにPIVカード・スロットが内蔵されているわけではありませんし、PIVカードが提供する公開鍵基盤を使用しないクラウドベースのアプリケーションもよくあります。このような状況では、代替手段が必要です」と述べています。
The new options are a subset of credentials that are specified in NIST SP 800-63-3, a multivolume publication on digital identity. Branches of the government will have a richer set of multifactor credentials for different devices — including, for example, FIDO (Fast ID Online) tokens and one-time passwords (OTP).	この新しいオプションは、デジタル・アイデンティティに関する複数の出版物であるNIST SP 800-63-3に規定されている資格情報のサブセットです。政府の各省庁は、例えばFIDO（Fast ID Online）トークンやワンタイムパスワード（OTP）など、さまざまなデバイスに対応した多要素認証情報をより豊富に持つことになります。
With the revision milestone now complete, the focus for NIST has shifted to providing additional guidelines and implementation details, Ferraiolo said. NIST is currently in the process of updating guidelines for the expanded set of PIV credentials in Revision 1 of NIST SP 800-157. Additionally, to ensure that different credentials are interoperable across different agencies, a concept known as “federation,” NIST will provide guidelines in NIST SP 800-217.	改訂のマイルストーンが完了したことで、NISTの焦点は、追加のガイドラインと実装の詳細を提供することに移ったと、フェライオロ氏は述べています。NISTは現在、NIST SP 800-157の改訂版1に掲載されている、拡張されたPIVクレデンシャルのガイドラインを更新しているところです。さらに、「フェデレーション」として知られる概念である、異なる機関間での異なるクレデンシャルの相互運用性を確保するために、NISTはNIST SP 800-217でガイドラインを提供する予定です。
Ferraiolo said these and other NIST publications associated with FIPS 201-3 would be updated in coming months.	フェライオロ氏は、FIPS 201-3に関連するこれらのNISTの出版物およびその他のNISTの出版物は、今後数ヶ月のうちに更新されるだろうと述べています。
For more information, see the complete FIPS update, which is available online.	詳細については、オンラインで公開されているFIPSアップデートの全文をご覧ください。

 

・2022.01.24 (publication) FIPS 201-3 Personal Identity Verification (PIV) of Federal Employees and Contractors

FIPS 201-3 Personal Identity Verification (PIV) of Federal Employees and Contractors	FIPS 201-3 連邦職員および委託業者のアイデンティティの検証（PIV）
Abstract	概要
This document establishes a standard for a Personal Identity Verification (PIV) system that meets the control and security objectives of Homeland Security Presidential Directive-12. It is based on secure and reliable forms of identity credentials issued by the Federal Government to its employees and contractors. These credentials are used by mechanisms that authenticate individuals who require access to federally controlled facilities, information systems, and applications. This Standard addresses requirements for initial identity proofing, infrastructure to support interoperability of identity credentials, and accreditation of organizations and processes issuing PIV credentials.	本文書は、国土安全保障大統領指令 12 号の管理およびセキュリティ目標を満たすアイデンティティの検証 （PIV）システムの標準を確立するものである。これは、連邦政府がその職員および委託業者に発行する安全で信頼できる形態の ID クレデンシャルに基づいている。これらのクレデンシャルは、連邦政府が管理する施設、情報システム、およびアプリケーシンへのアクセスを必要とする個人を認証するメカニズムで使用される。この規格は、初期の ID 証明の要件、ID クレデンシャルの相互運用性をサポートするイン フラ、および PIV クレデンシャルを発行する組織およびプロセスの認定を扱っている。

 

・[PDF] FIPS 201-3

1. Introduction	1. 序章
1.1 Purpose	1.1 目的
1.2 Scope	1.2 範囲
1.3 Change Management	1.3 変更管理
1.3.1 Backward Compatible Change	1.3.1 下位互換性のある変更
1.3.2 Backward Incompatible Change	1.3.2 下位互換性のない変更
1.3.3 New Features	1.3.3 新機能
1.3.4 Deprecated and Removed Features	1.3.4 非推奨および削除された機能
1.3.5 FIPS 201 Version Management	1.3.5 FIPS 201 バージョン管理
1.3.6 Section Number Stability	1.3.6 セクション番号安定性
1.4 Document Organization	1.4 文書構成
2. Common Identification, Security, and Privacy Requirements	2. 一般的な識別、セキュリティ、およびプライバシーの要件
2.1 Control Objectives	2.1 統制目標
2.2 Credentialing Requirements	2.2 資格要件
2.3 Biometric Data Collection for Background Investigations	2.3 身元調査のための生体データ収集
2.4 Biometric Data Collection for PIV Card	2.4 PIVカードのための生体データ収集
2.5 Biometric Data Use	2.5 生体データの利用
2.6 PIV Enrollment Records	2.6 PIV登録記録
2.7 PIV Identity Proofing and Registration Requirements	2.7 PIV本人確認および登録要件
2.7.1SupervisedRemoteIdentityProofing	2.7.1 監督下の遠隔ID証明
2.8 PIV Card Issuance Requirements	2.8 PIVカードの発行要件
2.8.1 Special Rule for Pseudonyms	2.8.1 仮名のための特別なルール
2.8.2 Grace Period	2.8.2 猶予期間
2.8.3 Remote Issuance	2.8.3 遠隔発行
2.9 PIV Card Maintenance Requirements	2.9 PIVカードのメンテナンス要件
2.9.1 PIV Card Reissuance Requirements	2.9.1 PIVカードの再発行要件
2.9.2 PIV Card Post-Issuance Update Requirements	2.9.2 PIVカード発行後の更新要件
2.9.3 PIV Card Activation Reset	2.9.3 PIVカードのアクティベーションリセット
2.9.4 PIV Card Termination Requirements	2.9.4 PIVカードの解約条件
2.10 Derived PIV Credentials	2.1 派生PIVクレデンシャル
2.10.1 Derived PIV Credential Issuance Requirements	2.10.1 派生PIVクレデンシャル発行要件
2.10.2 Derived PIV Credential Invalidation Requirements	2.10.2 派生PIVクレデンシャル無効化要件
2.10.3 Derived PIV Credential Reissuance and Update Requirements	2.10.3 派生 PIV クレデンシャルの再発行および更新の要件
2.11 PIV Privacy Requirements	2.11 PIVプライバシーの要件
3. PIV System Overview	3. PIVシステムの概要
3.1 Functional Components	3.1 機能部品
3.1.1 PIV Front-End Subsystem	3.1.1  PIVフロントエンドサブシステム
3.1.2 PIV Issuance and Management Subsystem	3.1.2  PIV発行管理サブシステム
3.1.3 PIV Relying Subsystem	3.1.3  PIV依存サブシステム
3.2vPIV Card Lifecycle Activities	3.2 PIVカードのライフサイクル活動
3.3 Connections Between System Components	3.3 システムコンポーネント間の接続
4. PIV Front-End Subsystem	4. PIVフロントエンドサブシステム
4.1vPIVvCardPhysicalCharacteristics	4.1 PIVカードの物理的特性
4.1.1vPrintedMaterial	4.1.1  印刷素材
4.1.2vTamper-proofingandResistance	4.1.2  いたずら防止と耐性
4.1.3 Physical Characteristics and Durability	4.1.3  物理的特性と耐久性
4.1.4 Visual Card Topography	4.1.4  ビジュアルカードトポグラフィー
4.1.5 Color Representation	4.1.5  色規定
4.2 PIV Card Logical Characteristics	4.2 PIVカードの論理的特性
4.2.1 Cardholder Unique Identifier	4.2.1  カード所有者の一意の識別子
4.2.2 Cryptographic Specifications	4.2.2  暗号仕様
4.2.3 Biometric Data Specifications	4.2.3  生体データの仕様
4.2.4 PIV Unique Identifiers	4.2.4  PIVユニーク識別子
4.3 PIV Card Activation	4.3 PIVカードのアクティベーション
4.3.1 Activation by Cardholder	4.3.1  カード所有者によるアクティベーション
4.3.2 Activation by Card Management System	4.3.2  カード管理システムによるアクティベーション
4.4 Card Reader Requirements	4.4 カードリーダーの要件
4.4.1 Contact Reader Requirements	4.4.1  連絡先リーダーの要件
4.4.2 Contactless Reader Requirements	4.4.2  非接触型リーダーの要件
4.4.3 Reader Interoperability	4.4.3  リーダーの相互運用性
4.4.4 Card Activation Device Requirements	4.4.4  カードアクティベーションデバイスの要件
5. PIV Key Management Requirements	5. PIV キーマネジメントの要件
5.1 Architecture	5.1 アーキテクチャ
5.2 PKI Certificate	5.2 PKI証明書
5.2.1 X.509 Certificate Contents	5.2.1 X.509 証明書の内容
5.3 X.509 Certificate Revocation List Contents	5.3 X.509 証明書失効リスト 目次
5.4 Legacy PKIs	5.4 レガシーPKI
5.5 PKI Repository and Online Certificate Status Protocol Responders	5.5 PKI リポジトリとオンライン証明書ステータスプロトコルのレスポンダ
5.5.1 Certificate and CRL Distribution	5.5.1 証明書とCRLの配布
5.5.2 OCSP Status Responders	5.5.2 OCSPのステータス対応
6. PIV Cardholder Authentication	6. PIVカード所有者認証
6.1 PIV Assurance Levels	6.1 PIV保証レベル
6.1.1 Relationship to Federal Identity Policy	6.1.1 連邦政府のアイデンティティポリシーとの関係
6.2 PIV Card Authentication Mechanisms	6.2 PIVカード認証の仕組み
6.2.1 Off-Card Biometric One-to-One Comparison	6.2.1 オフカード生体認証マンツーマン比較
6.2.2 On-Card Biometric One-to-One Comparison	6.2.2 オンカード生体認証マンツーマン比較
6.2.3 PIV Asymmetric Cryptography	6.2.3 PIV非対称暗号
6.2.4 Symmetric Card Authentication Key	6.2.4 対称カード認証キー
6.2.5 CHUID	6.2.5 CHUID
6.2.6 PIV Visual Credentials	6.2.6 PIVビジュアルクレデンシャル
6.3 PIV Support of Graduated Authenticator Assurance Levels	6.3 PIVによる段階的な認証機能の保証レベルのサポート
6.3.1 Physical Access	6.3.1 物理的アクセス
6.3.2 Logical Access	6.3.2 論理的アクセス
7. Federation Considerations for PIV	7. PIVのためのフェデレーションの考慮
7.1 ConnectingPIVtoFederation	7.1 PIVとフェデレーションの接続
7.2 Federation Assurance Level	7.2 フェデレーション保証レベル
7.3 Benefits of Federation	7.3 フェデレーションのメリット
Appendix A. PIV Validation, Certification, and Accreditation	附属書 A PIVバリデーション、認証、認定
A.1 Accreditation of PIV Card Issuers and Derived PIV Credential Issuers	A.1 PIV カード発行者および派生 PIV クレデンシャル発行者の認定
A.2 Application of Risk Management Framework to IT Systems	A.2 リスクマネジメントフレームワークのITシステムへの適用
A.3 Conformance Testing of PIV Card Application and Middleware	A.3 PIVカードアプリケーションとミドルウェアの適合性テスト
A.4 Cryptographic Testingand Validation	A.4 暗号テストと検証
A.5 FIPS 201 Evaluation Program	A.5 FIPS 201 評価プログラム
Appendix B. PIV Object Identifiers and Certificate Extension	附属書 B PIV オブジェクト識別子と証明書拡張
B.1 PIV Object Identifiers	B.1 PIV オブジェクト識別子
B.2 PIV Background Investigation Indicator Certificate Extension	B.2 PIV身元調査指標証明書の延長
Appendix C. Glossary of Terms, Acronyms, and Notations	附属書 C 用語集・略語・表記法
C.1 Glossary of Terms	C.1 用語集
C.2 Acronyms and Abbreviations	C.2 略語と略語
C.3 Notations	C.3 記法
Appendix D. References	附属書 D 参考文献
Appendix E. Revision History	附属書 E 改訂履歴

 

 

Supplemental Material:

• Web version
• Federal Register Notice
• NIST news article
• [PDF] 2020 Draft - Public Comments and Resolutions
  

パブリックコメント版からの変更点

Summary of Changes	変更点の概要
FIPS 201-3 addresses the comments received during the public comment period in November 2020. High level changes include:	FIPS 201-3は、2020年11月のパブリックコメント期間に寄せられたコメントに対応しています。変更点の概要は以下の通りです。
・Alignment with current NIST technical guidelines on identity management, OMB policy guidelines, and changes in commercially available technologies and services	・アイデンティティ管理に関する現行の NIST 技術ガイドライン、OMB 政策ガイドライン、および商業的に 利用可能な技術とサービスの変化との整合性
・Accommodation of additional types of authenticators through an expanded definition of derived PIV credentials	・派生する PIV クレデンシャルの定義を拡大することにより、追加のタイプの認証機関への対応
・Focus on the use of federation to facilitate interoperability and interagency trust	・相互運用性および省庁間の信頼を促進するためのフェデレーションの使用に重点を置くこと
・Addition of supervised remote identity proofing processes	・監督されたリモート ID 証明プロセスの追加
・Removal of the previously deprecated Cardholder Unique Identifier (CHUID) authentication mechanism and deprecation of the symmetric card authentication key and visual authentication mechanisms (VIS)	・以前に廃止されたカード所有者固有識別子（CHUID）認証メカニズムの削除、対称カード認証キーおよび視覚的認証メカニズム（VIS）の廃止
・Support for the secure messaging authentication mechanism (SM-AUTH)	・セキュアメッセージング認証メカニズム（SM-AUTH）のサポート

 

Related NIST Publications:

• SP 800-73-4
• SP 800-76-2
• SP 800-78-4
• SP 800-79-2
• SP 800-85A-4
• SP 800-87 Rev. 2
• SP 800-96
• SP 800-116 Rev. 1
• SP 800-156
• SP 800-157
• SP 1800-12
• NISTIR 7863

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

パブコメ...

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証（PIV）について

 

関連文書のドラフトなど...

・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み