NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション
こんにちは、丸山満彦です。。。
NISTがSP800-63デジタル・アイデンティティ・ガイドライン(4巻シリーズ)の第4版のドラフトを公表していますね。。。あくまでも連邦政府の利用を意識したものです。。。
約1.5年前に初期ドラフトが公表されてから少し時間がたちまちたが、ようやくドラフトバージョンが発行されましたね。。。
● NIST - ITL
・2022.12.16 SP 800-63-4 (Draft) Digital Identity Guidelines
・2022.12.16 SP 800-63A-4 (Draft) Digital Identity Guidelines: Enrollment and Identity Proofing
・2022.12.16 SP 800-63B-4 (Draft) Digital Identity Guidelines: Authentication and Lifecycle Management
・2022.12.16 SP 800-63C-4 (Draft) Digital Identity Guidelines: Federation and Assertions
SP 800-63-4 (Draft) Digital Identity Guidelines | SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン |
SP 800-63A-4 (Draft) Digital Identity Guidelines: Enrollment and Identity Proofing | SP 800-63A-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:登録と身元確認 |
SP 800-63B-4 (Draft) Digital Identity Guidelines: Authentication and Lifecycle Management | SP 800-63B-4 (ドラフト) デジタル・アイデンティティ・ガイドライン: 本人認証とライフサイクル管理 |
SP 800-63C-4 (Draft) Digital Identity Guidelines: Federation and Assertions | SP 800-63C-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:連携とアサーション |
Announcement | 発表 |
NIST requests comments on the draft fourth revision to the four-volume suite of Special Publication 800-63, Digital Identity Guidelines. This publication presents the process and technical requirements for meeting the digital identity management assurance levels specified in each volume. They also provide considerations for enhancing privacy, equity, and usability of digital identity solutions and technology. | NISTは、Special Publication 800-63「デジタル・アイデンティティ・ガイドライン」の4巻セットの第4改訂版ドラフトに対するコメントを求めている。本書は、各巻で指定されたデジタル ID 管理保証レベルを満たすためのプロセスおよび技術要件を提示する。また、デジタル ID ソリューションおよび技術のプライバシー、公平性、および使いやすさを向上させるための考慮事項が記載されている。 |
Background | 背景 |
The rapid proliferation of online services over the past few years has heightened the need for reliable, equitable, secure, and privacy-protective digital identity solutions. | 過去数年間のオンラインサービスの急速な普及により、信頼性が高く、公平で、安全で、プライバシーを保護するデジタル・アイデンティティ・ソリューションに対するニーズが高まっている。 |
Revision 4 of NIST Special Publication 800-63, Digital Identity Guidelines, intends to respond to the changing digital landscape that has emerged since the last major revision of this suite was published in 2017 — including the real-world implications of online risks. The guidelines present the process and technical requirements for meeting digital identity management assurance levels for identity proofing, authentication, and federation, including requirements for security and privacy as well as considerations for fostering equity and the usability of digital identity solutions and technology. | NIST 特別刊行物 800-63「デジタル・アイデンティティ・ガイドライン」の改訂4版は、このスイートの最後のメジャー改訂版が2017年に発行されて以来、オンラインリスクの現実世界での影響を含め、出現した変化するデジタルの状況に対応することを意図している。本ガイドラインは、セキュリティとプライバシーに関する要件だけでなく、公平性を育むための配慮や、デジタルIDソリューションや技術の使いやすさなど、本人認証、認証、連携のデジタルID管理の保証レベルを満たすためのプロセスおよび技術要件を提示している。 |
Taking into account feedback provided in response to our June 2020 Pre-Draft Call for Comments, as well as research conducted into real-world implementations of the guidelines, market innovation, and the current threat environment, this draft seeks to: | 2020 年 6 月のプレドラフト意見募集に寄せられたフィードバックや、ガイドラインの実世界での実装、市場の革新、現在の脅威環境について行われた調査を考慮し、このドラフトは以下を目的としている。 |
Advance Equity: This draft seeks to expand upon the risk management content of previous revisions and specifically mandates that agencies account for impacts to individuals and communities in addition to impacts to the organization. It also elevates risks to mission delivery – including challenges to providing services to all people who are eligible for and entitled to them – within the risk management process and when implementing digital identity systems. Additionally, the guidance now mandates continuous evaluation of potential impacts across demographics, provides biometric performance requirements, and additional parameters for the responsible use of biometric-based technologies, such as those that utilize face recognition. | 公平性の向上:このドラフトは、これまでのリスクマネジメントの内容を発展させ、組織への影響に加え、個人とコミュニティへの影響も考慮することを特に義務付けている。また、デジタル ID システムを導入する際のリスクマネジメントプロセスにおいて、サービスを受ける資格のあるすべての人にサービスを提供するという課題を含め、ミッションの実現に対するリスクを高めている。さらに、このガイダンスでは、人口統計全体に及ぶ潜在的な影響の継続的な評価、バイオメトリクス性能要件、および顔認識を利用するものなどのバイオメトリクス・ベースの技術を責任を持って使用するための追加パラメータを義務付けている。 |
Emphasize Optionality and Choice for Consumers: In the interest of promoting and investigating additional scalable, equitable, and convenient identify verification options, including those that do and do not leverage face recognition technologies, this draft expands the list of acceptable identity proofing alternatives to provide new mechanisms to securely deliver services to individuals with differing means, motivations, and backgrounds. The revision also emphasizes the need for digital identity services to support multiple authenticator options to address diverse consumer needs and secure account recovery. | 消費者のためのオプションと選択を重視する。 顔認識技術を活用するもの、しないものを含め、拡張可能、公平、かつ便利な身元確認オプションの追加を促進および調査するために、このドラフトは、許容可能な身元確認の代替手段のリストを拡張し、手段、動機、背景が異なる個人にサービスを安全に提供する新しい仕組みを提供する。また、この改訂では、デジタル・アイデンティティ・サービスが、多様な消費者のニーズと安全なアカウント回復に対応するため、複数の認証者オプションをサポートする必要性を強調している。 |
Deter Fraud and Advanced Threats: This draft enhances fraud prevention measures from the third revision by updating risk and threat models to account for new attacks, providing new options for phishing resistant authentication, and introducing requirements to prevent automated attacks against enrollment processes. It also opens the door to new technology such as mobile driver’s licenses and verifiable credentials. | 不正行為と高度な脅威の抑止:このドラフトは、新しい攻撃を考慮したリスクおよび脅威モデルの更新、フィッシングに強い認証の新しいオプションの提供、登録プロセスに対する自動的な攻撃を防止するための要件の導入により、第3回改訂から不正防止策を強化している。また、モバイル運転免許証や検証可能なクレデンシャルなどの新しい技術にも門戸を開いている。 |
Address Implementation Lessons Learned: This draft addresses areas where implementation experience has indicated that additional clarity or detail was required to effectively operationalize the guidelines. This includes re-working the federation assurance levels, providing greater detail on Trusted Referees, clarifying guidelines on identity attribute validation sources, and improving address confirmation requirements. | 実装の教訓に対処する:このドラフトは、ガイドラインを効果的に運用するために、実装の経験からさらなる明確化または詳細化が必要であると指摘された領域に対応している。これには、連携保証レベルの再作成、信頼される審判者の詳細、ID 属性検証ソースに関するガイドラインの明確化、および住所確認要件の改良が含まれる。 |
Note to Reviewers | レビュアーへのお願い |
NIST is specifically interested in comments on and recommendations for the following topics: | NIST は、特に以下のトピックに関するコメントおよび提言に関心を寄せている。 |
Identity Proofing and Enrollment | 身元確認と登録 |
NIST sees a need for inclusion of an unattended, fully remote Identity Assurance Level (IAL) 2 identity proofing workflow that provides security and convenience, but does not require face recognition. Accordingly, NIST seeks input on the following questions: | NIST は、セキュリティと利便性を提供するが顔認証を必要としない、無人の完全リモート ID 保証レベル(IAL)2 の身元確認ワークフローを含める必要性があると見ている。したがって、NIST は以下の質問に対する意見を求めている。 |
What technologies or methods can be applied to develop a remote, unattended IAL2 identity proofing process that demonstrably mitigates the same risks as the current IAL2 process? | 現在の IAL2 プロセスと同じリスクを実証的に軽減する、リモートで無人な IAL2 身元確認プ ロセスを開発するために、どのような技術または方法が適用できるのか? |
Are these technologies supported by existing or emerging technical standards? | これらの技術は、既存の、または新たに出現した技術標準でサポートされているか? |
Do these technologies have established metrics and testing methodologies to allow for assessment of performance and understanding of impacts across user populations (e.g., bias in artificial intelligence)? | これらの技術は、性能の評価およびユーザー集団全体への影響の理解を可能にする確立された測定 基準および試験方法を持っているか(たとえば、人工知能におけるバイアス)。 |
What methods exist for integrating digital evidence (e.g., Mobile Driver’s Licenses, Verifiable Credentials) into identity proofing at various identity assurance levels? | デジタル証拠(例:携帯運転免許証、検証可能な証明書)をさまざまな身元保証レベルの身元確認に 統合するために、どのような方法が存在するか? |
What are the impacts, benefits, and risks of specifying a set of requirements for CSPs to establish and maintain fraud detection, response, and notification capabilities? | CSP が不正行為の検出、対応、および通知機能を確立し維持するための一連の要件を規定することの影響、利点、およびリスクは何か? |
Are there existing fraud checks (e.g., date of death) or fraud prevention techniques (e.g., device fingerprinting) that should be incorporated as baseline normative requirements? If so, at what assurance levels could these be applied? | 既存の詐欺チェック(例:死亡日)または詐欺防止技術(例:デバイスの指紋採取)で、基本的な規範的要件として取り入れるべきものはあるか?あるとすれば、それらはどの程度の保証レベルで適用できるのか? |
How might emerging methods such as fraud analytics and risk scoring be further researched, standardized, measured, and integrated into the guidance in the future? | 不正分析やリスクスコアリングのような新しい手法は、今後どのように研究、標準化、測定され、ガイダンスに統合される可能性があるか? |
What accompanying privacy and equity considerations should be addressed alongside these methods? | これらの手法に付随して、プライバシーや公平性についてどのような配慮が必要か? |
Are current testing programs for liveness detection and presentation attack detection sufficient for evaluating the performance of implementations and technologies? | ライブネス検知とプレゼンテーション攻撃検知のための現在のテストプログラムは、実装と技術の性能を評価するのに十分か? |
What impacts would the proposed biometric performance requirements for identity proofing have on real-world implementations of biometric technologies? | 身元確認のために提案されたバイオメトリクス性能要件は、バイオメトリクス技術の実世界の実装にどのような影響を与えるか? |
Risk Management | リスクマネジメント |
What additional guidance or direction can be provided to integrate digital identity risk with enterprise risk management? | デジタル・アイデンティティ・リスクをエンタープライズ・リスクマネジメントと統合するために、 どのような追加ガイダンスまたは方向性を提供できるのか? |
How might equity, privacy, and usability impacts be integrated into the assurance level selection process and digital identity risk management model? | 公平性、プライバシー、およびユーザビリティの影響は、保証レベル選択プロセスおよびデジタル ID リスク・マネジメント・モデルにどのように統合されるのか? |
How might risk analytics and fraud mitigation techniques be integrated into the selection of different identity assurance levels? How can we qualify or quantify their ability to mitigate overall identity risk? | リスク分析および詐欺行為軽減技術は、異なる ID 保証レベルの選択にどのように統合されるのか?全体的な ID リスクを軽減する能力をどのように認定または定量化できるのか? |
Authentication and Life Cycle Management | 本人認証およびライフサイクル管理 |
Are emerging authentication models and techniques – such as FIDO passkey, Verifiable Credentials, and mobile driver’s licenses – sufficiently addressed and accommodated, as appropriate, by the guidelines? What are the potential associated security, privacy, and usability benefits and risks? | FIDO パスキー、検証可能クレデンシャル、モバイル運転免許証などの新しい認証モデルおよび技 術は、ガイドラインによって十分に扱われ、必要に応じて対応されているか?関連するセキュリティ、プライバシー、ユーザビリティの潜在的な利点とリスクは何か? |
Are the controls for phishing resistance as defined in the guidelines for AAL2 and AAL3 authentication clear and sufficient? | AAL2およびAAL3認証のガイドラインに定義されているフィッシング対策は明確かつ十分か? |
How are session management thresholds and reauthentication requirements implemented by agencies and organizations? Should NIST provide thresholds or leave session lengths to agencies based on applications, users, and mission needs? | セッション管理のしきい値と再認証の要件は、機関や組織でどのように実装されているか? NISTは、アプリケーション、ユーザ、ミッションのニーズに基づいて、閾値を提供したり、セッションの長さを機関に委ねたりする必要があるか? |
What impacts would the proposed biometric performance requirements for this volume have on real-world implementations of biometric technologies? | 本編で提案されたバイオメトリクス性能要件は、バイオメトリクス技術の実世界での実装にどのような影響を及ぼすか? |
Federation and Assertions | 連携とアサーション |
What additional privacy considerations (e.g., revocation of consent, limitations of use) may be required to account for the use of identity and provisioning APIs that had not previously been discussed in the guidelines? | ガイドラインでこれまで議論されていなかった ID およびプロビジョニング API の使用を考慮するために、どのような追加のプライバシー配慮(例:同意の取り消し、使用の制限)が必要になるか? |
Is the updated text and introduction of “bound authenticators” sufficiently clear to allow for practical implementations of federation assurance level (FAL) 3 transactions? What complications or challenges are anticipated based on the updated guidance? | 更新された文章と「バインド認証者」の序文は、連携保証レベル(FAL)3トランザク ションの実用的な実装を可能にするために十分に明確ですか?更新されたガイダンスに基づき、どのような複雑さや課題が予想されるか? |
General | 一般 |
Is there an element of this guidance that you think is missing or could be expanded? | このガイダンスの中で、欠けている、または拡張できると思われる要素はあるか? |
Is any language in the guidance confusing or hard to understand? Should we add definitions or additional context to any language? | ガイダンスの中で、分かりにくい言葉や理解しにくい言葉はあるか?用語の定義や文脈を追加する必要があるか? |
Does the guidance sufficiently address privacy? | このガイダンスは、プライバシーについて十分に対処しているか? |
Does the guidance sufficiently address equity? | このガイダンスは、衡平性について十分な配慮がなされているか? |
What equity assessment methods, impact evaluation models, or metrics could we reference to better support organizations in preventing or detecting disparate impacts that could arise as a result of identity verification technologies or processes? | ID 検証技術またはプロセスの結果として生じる可能性のある不平等な影響を防止または検出する組織をより良く支援するために、どのような衡平性評価方法、影響評価モデル、または測定基準を参照できるか? |
What specific implementation guidance, reference architectures, metrics, or other supporting resources may enable more rapid adoption and implementation of this and future iterations of the Digital Identity Guidelines? | デジタル ・アイデンティティ・ガイドラインの今回および今後の繰り返しの、より迅速な採用および実施を 可能にする具体的な実施ガイダンス、参照アーキテクチャ、測定基準、またはその他の支援リソースは何か? |
What applied research and measurement efforts would provide the greatest impact on the identity market and advancement of these guidelines? | どのような応用研究および測定の取り組みが、ID 市場およびこれらのガイドラインの進展に最 大の影響を与えるか? |
Abstract (63-4) | 要約(63-4) |
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. The guidelines cover identity proofing and authentication of users (such as employees, contractors, or private individuals) interacting with government information systems over networks. They define technical requirements in each of the areas of identity proofing, registration, authenticators, management processes, authentication protocols, federation, and related assertions. This publication will supersede NIST Special Publication 800-63-3. | このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、 この目的以外の標準の開発または使用を制限することを意図していない。このガイドラインは、ネットワーク上で政府情報システムと相互作用する利用者(職員、請負業者、私人など)の身元確認と認証を対象としている。このガイドラインは、身元確認、登録、認証子、管理プロセス、認証プロトコル、フェデレー ション、および関連アサーションの各分野における技術要件を定義している。この出版物は、NIST 特別刊行物 800-63-3 に取って代わるものである。 |
Abstract (63A-4) | 概要(63A-4) |
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. This guideline focuses on the enrollment and verification of an identity for use in digital authentication. Central to this is a process known as identity proofing in which an applicant provides evidence to a credential service provider (CSP) reliably identifying themselves, thereby allowing the CSP to assert that identification at a useful identity assurance level. This document defines technical requirements for each of three identity assurance levels. This publication will supersede NIST Special Publication (SP) 800-63A. | このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、この目的以外の標準の開発または使用を制限することを意図していない。このガイドラインは、デジタル認証で使用するための ID の登録と検証に重点を置いている。この中心は、申請者がクレデンシャル・サービス・プロバイダ(CSP)に自分自身を確実に識別する証拠を提供し、それによって CSP が有用な ID保証レベルでその識別を主張できるようにする身元確認と呼ばれるプロセスである。この文書では、3 つの ID 保証レベルのそれぞれについて技術要件を定義している。本書は、NIST 特別刊行物(SP)800-63A に取って代わるものである。 |
Abstract (63B-4) | 概要(63B-4) |
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. These guidelines focus on the authentication of subjects interacting with government information systems over networks, establishing that a given claimant is a subscriber who has been previously authenticated. The result of the authentication process may be used locally by the system performing the authentication or may be asserted elsewhere in a federated identity system. This document defines technical requirements for each of the three authenticator assurance levels. This publication will supersede NIST Special Publication (SP) 800-63B. | このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、この目的以外の標準の開発または使用を制約することを意図していない。このガイドラインは、ネットワークを介して政府情報システムと相互作用する対象者の認証に重点を置き、所定の請求者が以前に認証された加入者であることを確立する。認証プロセスの結果は、認証を実行するシステムによってローカルに使用されるか、または連合 ID システムの他の場所で主張される場合がある。本文書は、3 つの本人認証保証レベルのそれぞれについて技術要件を定義する。本書は、NIST 特別刊行物 (SP) 800-63B に取って代わるものである。 |
Abstract (63C-4) | 概要 (63C-4) |
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. This guideline focuses on the use of federated identity and the use of assertions to implement identity federations. Federation allows a given credential service provider to provide authentication attributes and (optionally) subscriber attributes to a number of separately-administered relying parties. Similarly, relying parties may use more than one credential service provider. This publication will supersede NIST Special Publication (SP) 800-63C. | このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、この目的以外の標準の開発または使用を制約することを意図していない。このガイドラインは、ID 連携を実装するための連携 ID の使用とアサーションの使用に重点を置いている。連携により、特定のクレデンシャル・サービス・プロバイダは、認証属性および (オプションで)加入者属性を、別々に管理される多数の依拠当事者に提供することができる。同様に、依拠当事者は複数のクレデンシャル・サービス・プロバイダを使用することができる。この出版物は、NIST 特別刊行物 (SP) 800-63C に取って代わるものである。 |
・[PDF] SP 800-63-4 (Draft)
・[PDF] SP 800-63A-4 (Draft)
・[PDF] SP 800-63B-4 (Draft)
・[PDF] SP 800-63C-4 (Draft)
目次
SP 800-63-4 (Draft) Digital Identity Guidelines | SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン |
1. Purpose | 1. 目的 |
2. Introduction | 2. 序文 |
2.1. Scope & Applicability | 2.1. 範囲と適用性 |
2.2. How to Use this Suite of SPs | 2.2. このSPスイートの使用方法 |
2.3. Enterprise Risk Management Requirements and Considerations | 2.3. エンタープライズリスクマネジメントの要件と考慮事項 |
2.3.1. Security | 2.3.1. セキュリティ |
2.3.2. Privacy | 2.3.2. プライバシー |
2.3.3. Equity | 2.3.3. 公平性 |
2.3.4. Usability | 2.3.4. ユーザビリティ |
3. Definitions and Abbreviations | 3. 定義と略語 |
4. Digital Identity Model | 4. デジタル・アイデンティティ・モデル |
4.1. Overview | 4.1. 概要 |
4.2. Enrollment and Identity Proofing | 4.2. 登録と身元確認 |
4.3. Authentication and Lifecycle Management | 4.3. 本人認証とライフサイクル管理 |
4.3.1. Authenticators | 4.3.1. 本人認証 |
4.3.2. Subscriber Accounts | 4.3.2. サブスクライバ・アカウント |
4.3.3. Authentication Process | 4.3.3. 本人認証プロセス |
4.4. Federation and Assertions | 4.4. 連携とアサーション |
4.4.1. Federation Benefits | 4.4.1. 連携のメリット |
4.4.2. Federation Protocols and Assertions | 4.4.2. 連携プロトコルとアサーション |
4.4.3. Relying Parties | 4.4.3. リライイング・パーティー |
5. Digital Identity Risk Management | 5. デジタル・アイデンティティのリスクマネジメント |
5.1. Conduct Initial Impact Assessment | 5.1. 初期インパクトアセスメントの実施 |
5.1.1. Identify Impacted Entities | 5.1.1. 影響を受ける事業者の特定 |
5.1.2. Identify Impact Categories and Potential Harms | 5.1.2. 影響カテゴリー及び潜在的な損害の特定 |
5.1.3. Identify Potential Impact Levels | 5.1.3. 潜在的な影響レベルの特定 |
5.1.4. Impact Analysis | 5.1.4. 影響度分析 |
5.2. Select Initial Assurance Levels | 5.2. 初期保証レベルの選択 |
5.2.1. Assurance Levels | 5.2.1. 保証レベル |
5.2.2. xAL Descriptions | 5.2.2. xALの記述 |
5.2.3. Initial Assurance Level Selection | 5.2.3. 初期保証レベルの選択 |
5.3. Tailor and Document Assurance Levels | 5.3. 保証レベルの調整と文書化 |
5.3.1. Assess Privacy, Equity, Usability and Threats | 5.3.1. プライバシー、公平性、使用性、及び脅威の評価 |
5.3.2. Identify Compensating Controls | 5.3.2. 代償となるコントロールの特定 |
5.3.3. Identify Supplemental Controls | 5.3.3. 補足的なコントロールの特定 |
5.3.4. Document Results - The Digital Identity Acceptance Statement | 5.3.4. 結果の文書化 - デジタル・アイデンティティの承認ステートメント |
5.4. Continuously Evaluate and Improve | 5.4. 継続的な評価と改善 |
5.5. Cyber, Fraud, and Identity Program Integrity | 5.5. サイバー、不正、およびアイデンティティ・プログラムの完全性 |
References | 参考文献 |
General References | 一般的な参考資料 |
Standards | 標準規格 |
NIST Special Publications | NISTの特別出版物 |
Federal Information Processing Standards | 連邦情報処理規格 |
Appendix A. Definitions and Abbreviations | 附属書 A. 定義と略語 |
A.1. Definitions | A.1. 定義 |
A.2. Abbreviations | A.2. 略語 |
Appendix B. Change Log | 附属書 B. 変更履歴 |
B.1. SP 800-63-1 | B.1. SP 800-63-1 |
B.2. SP 800-63-2 | B.2. SP 800-63-2 |
B.3. SP 800-63-3 | B.3. SP 800-63-3 |
B.4. SP 800-63-4 | B.4. SP 800-63-4 |
SP 800-63A-4 (Draft) Digital Identity Guidelines: Enrollment and Identity Proofing | SP 800-63A-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:登録と身元確認 |
1. Purpose | 1. 目的 |
2. Introduction | 2. 序文 |
2.1. Expected Outcomes of Identity Proofing | 2.1. 身元確認に期待される成果 |
2.2. Identity Assurance Levels | 2.2. アイデンティティ保証レベル |
3. Definitions and Abbreviations | 3. 定義と略語 |
4. Identity Resolution, Validation, and Verification | 4. アイデンティティの解決、検証、および妥当性確認 |
4.1. Identity Proofing and Enrollment | 4.1. 身元確認と登録 |
4.1.1. Process Flow | 4.1.1. プロセスの流れ |
4.2. Identity Resolution | 4.2. アイデンティティーの解決 |
4.3. Identity Validation and Identity Evidence Collection | 4.3. ID 検証と ID の証拠収集 |
4.3.1. Characteristics of Acceptable Physical Evidence | 4.3.1. 許容される物的証拠の特徴 |
4.3.2. Characteristics of Acceptable Digital Evidence | 4.3.2. 許容されるデジタル証拠の特徴 |
4.3.3. Evidence Strength Requirements | 4.3.3. 証拠強度要件 |
4.3.4. Identity Evidence and Attribute Validation | 4.3.4. アイデンティティの証拠と属性検証 |
4.4. Identity Verification | 4.4. ID 検証 |
4.4.1. Identity Verification Methods | 4.4.1. 本人確認方法 |
5. Identity Assurance Level Requirements | 5. 身元保証レベル要件 |
5.1. General Requirements | 5.1. 一般要件 |
5.1.1. Identity Service Documentation and Records | 5.1.1. アイデンティティ・サービスの文書と記録 |
5.1.2. General Privacy Requirements | 5.1.2. 一般的なプライバシー要件 |
5.1.3. General Equity Requirements | 5.1.3. 一般的な公平性の要件 |
5.1.4. General Security Requirements | 5.1.4. セキュリティに関する一般的な要求事項 |
5.1.5. Additional Requirements for Federal Agencies | 5.1.5. 連邦政府機関に対する追加要件 |
5.1.6. Requirements for Enrollment Codes | 5.1.6. 登録コードに関する要件 |
5.1.7. Requirements for Notifications of Identity Proofing | 5.1.7. 身元確認の通知に関する要件 |
5.1.8. Requirements for Use of Biometrics | 5.1.8. バイオメトリクスの使用に関する要求事項 |
5.1.9. Trusted Referees and Applicant References | 5.1.9. 信頼できる照会先と申請者の照会先 |
5.1.10. Requirements for Interacting with Minors | 5.1.10. 未成年者との接点に関する要求事項 |
5.2. Identity Proofing Process | 5.2. 身元確認プロセス |
5.3. Identity Assurance Level 1 | 5.3. 身元保証レベル 1 |
5.3.1. Automated Attack Prevention | 5.3.1. 自動的な攻撃防御 |
5.3.2. Evidence and Core Attributes Collection Requirements | 5.3.2. 証拠とコアアトリビュートの収集要件 |
5.3.3. Evidence and Core Attributes Validation Requirements | 5.3.3. 証拠スとコア属性の検証要件 |
5.3.4. Identity Verification Requirements | 5.3.4. 本人確認要件 |
5.3.5. Notification of Proofing Requirement | 5.3.5. プルーフィング要件に関する通知 |
5.4. Identity Assurance Level 2 | 5.4. アイデンティティ保証レベル 2 |
5.4.1. Automated Attack Prevention | 5.4.1. 自動的な攻撃防御 |
5.4.2. Evidence and Core Attribute Collection Requirements | 5.4.2. 証拠とコア属性の収集要件 |
5.4.3. Evidence and Core Attributes Validation Requirements | 5.4.3. 証拠とコア属性の検証要件 |
5.4.4. Identity Verification Requirements | 5.4.4. アイデンティティ検証要件 |
5.4.5. Notification of Proofing Requirement | 5.4.5. プルーフィング要件に関する通知 |
5.5. Identity Assurance Level 3 | 5.5. アイデンティティ保証レベル 3 |
5.5.1. Automated Attack Prevention | 5.5.1. 自動的な攻撃防御 |
5.5.2. Evidence and Core Attributes Collection Requirements | 5.5.2. 証拠とコアアトリビュートの収集要件 |
5.5.3. Validation Requirements | 5.5.3. 検証要件 |
5.5.4. Identity Verification Requirements | 5.5.4. 本人確認要件 |
5.5.5. Notification of Proofing Requirement | 5.5.5. プルーフィング要件に関する通知 |
5.5.6. Biometric Collection | 5.5.6. バイオメトリック収集 |
5.5.7. In-person Proofing Requirements | 5.5.7. 対面での証明の必要性 |
5.5.8. Requirements for IAL3 Supervised Remote Identity Proofing | 5.5.8. IAL3 監視下遠隔身元確認の要件 |
5.6. Summary of Requirements | 5.6. 要件のまとめ |
6. Subscriber Accounts | 6. 加入者アカウント |
6.1. Subscriber Accounts | 6.1. 加入者アカウント |
6.2. Subscriber Account Access | 6.2. 加入者アカウントへのアクセス |
6.3. Subscriber Account Lifecycle | 6.3. 加入者アカウントのライフサイクル |
6.3.1. Subscriber Account Activity | 6.3.1. 加入者アカウント活動 |
6.3.2. Subscriber Account Termination | 6.3.2. 加入者アカウントの終了 |
7. Threats and Security Considerations | 7. 脅威とセキュリティに関する考察 |
7.1. Threat Mitigation Strategies | 7.1. 脅威の緩和策 |
7.2. Collaboration with Adjacent Programs | 7.2. 隣接するプログラムとの協働 |
8. Privacy Considerations | 8. プライバシーへの配慮 |
8.1. Collection and Data Minimization | 8.1. 収集とデータの最小化 |
8.1.1. Social Security Numbers | 8.1.1. 社会保障番号 |
8.2. Notice and Consent | 8.2. 通知と同意 |
8.3. Use Limitation | 8.3. 使用制限 |
8.4. Redress | 8.4. 救済 |
8.5. Privacy Risk Assessment | 8.5. プライバシーリスク評価 |
8.6. Agency-Specific Privacy Compliance | 8.6. 機関特有のプライバシーコンプライアンス |
9. Usability Considerations | 9. ユーザビリティに関する考慮事項 |
9.1. General User Considerations During Enrollment and Identity Proofing | 9.1. 登録および身元確認中の一般的なユーザーの考慮事項 9.2. |
9.2. Pre-Enrollment Preparation | 9.2. 登録前の準備 |
9.3. Enrollment and Proofing Session | 9.3. 登録と証明のセッション |
9.4. Post-Enrollment | 9.4. 登録後 |
10.Equity Considerations | 10.公平性に関する考慮事項 |
10.1. Equity and Identity Resolution | 10.1. 公平性とアイデンティティの解決 |
10.2. Equity and Identity Validation | 10.2. 衡平性と同一性の検証 |
10.3. Equity and Identity Verification | 10.3. 公平性と同一性の検証 |
10.4. Equity and User Experience | 10.4. 公平性とユーザーエクスペリエンス |
References | 参考文献 |
General References | 一般的な参考資料 |
Standards | 標準規格 |
NIST Special Publications | NISTの特別出版物 |
Appendix A. Change Log | 附属書 A. 変更履歴 |
SP 800-63B-4 (Draft) Digital Identity Guidelines: Authentication and Lifecycle Management | SP 800-63B-4 (ドラフト) デジタル・アイデンティティ・ガイドライン: 本人認証とライフサイクル管理 |
1. Purpose | 1. 目的 |
2. Introduction | 2. 序文 |
3. Definitions and Abbreviations | 3. 定義と略語 |
4. Authentication Assurance Levels | 4. 本人認証保証レベル |
4.1. Authentication Assurance Level 1 | 4.1. 認証保証レベル 1 |
4.1.1. Permitted Authenticator Types | 4.1.1. 許可される認証者タイプ |
4.1.2. Authenticator and Verifier Requirements | 4.1.2. 認証機関とベリファイアの要件 |
4.1.3. Reauthentication | 4.1.3. 再認証 |
4.1.4. Security Controls | 4.1.4. セキュリティ制御 |
4.1.5. Records Retention Policy | 4.1.5. 記録保持ポリシー |
4.2. Authentication Assurance Level 2 | 4.2. 本人認証保証レベル 2 |
4.2.1. Permitted Authenticator Types | 4.2.1. 許可された本人認証の種類 |
4.2.2. Authenticator and Verifier Requirements | 4.2.2. 本人認証およびベリファイアの要件 |
4.2.3. Reauthentication | 4.2.3. 再認証 |
4.2.4. Security Controls | 4.2.4. セキュリティ制御 |
4.2.5. Records Retention Policy | 4.2.5. 記録保持ポリシー |
4.3. Authentication Assurance Level 3 | 4.3. 本人認証保証レベル 3 |
4.3.1. Permitted Authenticator Types | 4.3.1. 許可された本人認証の種類 |
4.3.2. Authenticator and Verifier Requirements | 4.3.2. 本人認証およびベリファイアの要件 |
4.3.3. Reauthentication | 4.3.3. 再認証 |
4.3.4. Security Controls | 4.3.4. セキュリティ制御 |
4.3.5. Records Retention Policy | 4.3.5. 記録保持ポリシー |
4.4. Privacy Requirements | 4.4. プライバシーに関する要求事項 |
4.5. Summary of Requirements | 4.5. 要求事項の概要 |
5. Authenticator and Verifier Requirements | 5. 本人認証とベリファイアの要件 |
5.1. Requirements by Authenticator Type | 5.1. 認証器タイプ別要件 |
5.1.1. Memorized Secrets | 5.1.1. 暗記された秘密(Memorized Secrets |
5.1.2. Look-Up Secrets | 5.1.2. ルックアップシークレット |
5.1.3. Out-of-Band Devices | 5.1.3. 帯域外装置 |
5.1.4. Single-Factor OTP Device | 5.1.4. 一要素 OTP デバイス |
5.1.5. Multi-Factor OTP Devices | 5.1.5. 多要素ワンタイムパスワードデバイス |
5.1.6. Single-Factor Cryptographic Software | 5.1.6. シングルファクター暗号化ソフトウェア |
5.1.7. Single-Factor Cryptographic Devices | 5.1.7. 単一要素暗号化装置 |
5.1.8. Multi-Factor Cryptographic Software | 5.1.8. 多要素暗号化ソフトウェア |
5.1.9. Multi-Factor Cryptographic Devices | 5.1.9. 多要素暗号化装置 |
5.2. General Authenticator Requirements | 5.2. 本人認証の一般要件 |
5.2.1. Physical Authenticators | 5.2.1. 物理的認証子 |
5.2.2. Rate Limiting (Throttling) | 5.2.2. レート制限(スロットル) |
5.2.3. Use of Biometrics | 5.2.3. バイオメトリクスの使用 |
5.2.4. Attestation | 5.2.4. 認証 |
5.2.5. Phishing (Verifier Impersonation) Resistance | 5.2.5. フィッシング(検証者のなりすまし)耐性 |
5.2.6. Verifier-CSP Communications | 5.2.6. 検証者-CSP 間通信 |
5.2.7. Verifier Compromise Resistance | 5.2.7. ベリファイアの危殆化に対する耐性 |
5.2.8. Replay Resistance | 5.2.8. リプレイ耐性 |
5.2.9. Authentication Intent | 5.2.9. 本人認証の意図 |
5.2.10. Restricted Authenticators | 5.2.10. 制限された本人認証手段 |
5.2.11. Activation Secrets | 5.2.11. アクティベーション・シークレット |
5.2.12. Connected Authenticators | 5.2.12. 接続された認証者 |
6. Authenticator Lifecycle Management | 6. 本人認証のライフサイクル管理 |
6.1. Authenticator Binding | 6.1. 本人認証バインディング |
6.1.1. Binding at Enrollment | 6.1.1. 登録時のバインディング |
6.1.2. Post-Enrollment Binding | 6.1.2. 登録後のバインディング |
6.1.3. Binding to a Subscriber-provided Authenticator | 6.1.3. サブスクライバが提供する本人認証機能へのバインディング |
6.1.4. Renewal | 6.1.4. 更新 |
6.2. Loss, Theft, Damage, and Unauthorized Duplication | 6.2. 紛失、盗難、損傷、および不正な複製 |
6.3. Expiration | 6.3. 有効期限 |
6.4. Invalidation | 6.4. 無効化 |
7. Session Management | 7. セッション管理 |
7.1. Session Bindings | 7.1. セッションバインディング |
7.1.1. Browser Cookies | 7.1.1. ブラウザクッキー |
7.1.2. Access Tokens | 7.1.2. アクセストークン |
7.1.3. Device Identification | 7.1.3. デバイスの識別 |
7.2. Reauthentication | 7.2. 再認証 |
7.2.1. Reauthentication from a Federation or Assertion | 7.2.1. 連携またはアサーションからの再認証 |
8. Threats and Security Considerations | 8. 脅威とセキュリティに関する考察 |
8.1. Authenticator Threats | 8.1. 本人認証の脅威 |
8.2. Threat Mitigation Strategies | 8.2. 脅威の緩和策 |
8.3. Authenticator Recovery | 8.3. 本人認証のリカバリ |
8.4. Session Attacks | 8.4. セッション攻撃 |
9. Privacy Considerations | 9. プライバシーに関する考察 |
9.1. Privacy Risk Assessment | 9.1. プライバシーリスク評価 |
9.2. Privacy Controls | 9.2. 個人情報保護管理 |
9.3. Use Limitation | 9.3. 使用制限 |
9.4. Agency-Specific Privacy Compliance | 9.4. 機関特有のプライバシーコンプライアンス |
10.Usability Considerations | 10.ユーザビリティに関する考慮事項 |
10.1. Usability Considerations Common to Authenticators | 10.1. 本人認証に共通するユーザビリティの考慮事項 |
10.2. Usability Considerations by Authenticator Type | 10.2. 認証機関タイプ別のユーザビリティに関する考慮事項 |
10.2.1. Memorized Secrets | 10.2.1. 記憶された秘密(Memorized Secrets |
10.2.2. Look-Up Secrets | 10.2.2. ルックアップシークレット(Look-Up Secrets |
10.2.3. Out-of-Band | 10.2.3. 帯域外 |
10.2.4. Single-Factor OTP Device | 10.2.4. 一要素 OTP デバイス |
10.2.5. Multi-Factor OTP Device | 10.2.5. 多要素ワンタイムパスワードデバイス |
10.2.6. Single-Factor Cryptographic Software | 10.2.6. 単一要素暗号化ソフトウェア |
10.2.7. Single-Factor Cryptographic Device | 10.2.7. 単一要素暗号化装置 |
10.2.8. Multi-Factor Cryptographic Software | 10.2.8. 多要素暗号化ソフトウェア |
10.2.9. Multi-Factor Cryptographic Device | 10.2.9. 多要素暗号化装置 |
10.3. Summary of Usability Considerations | 10.3. ユーザビリティに関する考察のまとめ |
10.4. Biometrics Usability Considerations | 10.4. バイオメトリクスのユーザビリティに関する考察 |
11.Equity Considerations | 11.公平性に関する考察 |
References | 参考文献 |
General References | 一般的な参考文献 |
Standards | 標準規格 |
NIST Special Publications | NIST特別出版物 |
Federal Information Processing Standards | 連邦情報処理規格 |
Appendix A. Strength of Memorized Secrets | 附属書A. 暗記された秘密の強さ |
A.1. Introduction | A.1. 序文 |
A.2. Length | A.2. 長さ |
A.3. Complexity | A.3. 複雑さ |
A.4. Central vs. Local Verification | A.4. 中央検証 vs. 局所検証 |
A.5. Summary | A.5. まとめ |
Appendix B. Change Log | 附属書B. 変更履歴 |
SP 800-63C-4 (Draft) Digital Identity Guidelines: Federation and Assertions | SP 800-63C-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:連携とアサーション |
1. Purpose | 1. 目的 |
2. Introduction | 2. 序文 |
3. Definitions and Abbreviations | 3. 定義と略語 |
4. Federation Assurance Level (FAL) | 4. 連携保証レベル(FAL) |
4.1. Federation Assurance Level 1 (FAL1) | 4.1. 連携保証レベル 1 (FAL1) |
4.2. Federation Assurance Level 2 (FAL2) | 4.2. 連携保証レベル 2 (FAL2) |
4.3. Federation Assurance Level 3 (FAL3) | 4.3. 連携保証レベル 3 (FAL3) |
4.4. Requesting and Processing xALs | 4.4. xALの要求と処理 |
5. Federation | 5. 連携 |
5.1. Trust Agreements | 5.1. 信頼合意書 |
5.1.1. Bilateral Trust Agreements | 5.1.1. 二組織間信頼合意書 |
5.1.2. Multilateral Trust Agreements | 5.1.2. 多組織間信頼合意書 |
5.1.3. Proxied Federation | 5.1.3. 代理人による連携 |
5.2. Registration | 5.2. 登録 |
5.2.1. Manual Registration | 5.2.1. 手動登録 |
5.2.2. Dynamic Registration | 5.2.2. 動的登録 |
5.3. Authentication and Attribute Disclosure | 5.3. 本人認証と属性開示 |
5.3.1. IdP Allowlists of RPs | 5.3.1. RP の IdP 許可リスト |
5.3.2. IdP Blocklists of RPs | 5.3.2. RP の IdP 不許可リスト |
5.3.3. IdP Runtime Decisions | 5.3.3. IdP 実行時決定事項 |
5.3.4. RP Allowlists of IdPs | 5.3.4. IdP の RP 許可リスト |
5.3.5. RP Blocklists of IdPs | 5.3.5. IdP の RP 不許可リスト |
5.3.6. RP Runtime Decisions | 5.3.6. RP 実行時決定事項 |
5.4. RP Subscriber Accounts | 5.4. RP 加入者アカウント |
5.4.1. Provisioning Models | 5.4.1. プロビジョニングモデル |
5.4.2. Attribute Synchronization | 5.4.2. 属性の同期化 |
5.4.3. Provisioning APIs | 5.4.3. プロビジョニングAPI |
5.4.4. Attribute Collection | 5.4.4. 属性の収集 |
5.4.5. Time-based Removal of RP Subscriber Accounts | 5.4.5. RP加入者アカウントの時間ベースの削除 |
5.5. Privacy Requirements | 5.5. プライバシー要件 |
5.6. Reauthentication and Session Requirements in Federated Environments | 5.6. 統合環境における再認証とセッションの要件 |
5.7. Shared Signaling | 5.7. シグナリングの共有 |
6. Assertions | 6. アサーション(Assertion) |
6.1. Assertion Binding | 6.1. アサーションバインディング |
6.1.1. Bearer Assertions | 6.1.1. ベアラアサーション |
6.1.2. Bound Authenticators | 6.1.2. 本人認証のバインド |
6.2. Assertion Protection | 6.2. アサーションの保護 |
6.2.1. Assertion Identifier | 6.2.1. アサーションの識別子 |
6.2.2. Signed Assertion | 6.2.2. 署名されたアサーション |
6.2.3. Encrypted Assertion | 6.2.3. 暗号化されたアサーション |
6.2.4. Audience Restriction | 6.2.4. 視聴者制限 |
6.2.5. Pairwise Pseudonymous Identifiers | 6.2.5. 対の疑似同名識別子 |
6.3. Identity APIs | 6.3. ID API |
6.3.1. Attribute Providers | 6.3.1. 属性プロバイダー |
7. Assertion Presentation | 7. アサーションの提示 |
7.1. Back-Channel Presentation | 7.1. バックチャンネルでの提示 |
7.2. Front-Channel Presentation | 7.2. フロントチャンネル表示 |
7.3. Protecting Information | 7.3. 情報の保護 |
8. Security | 8. セキュリティ |
8.1. Federation Threats | 8.1. 連携の脅威 |
8.2. Federation Threat Mitigation Strategies | 8.2. 連携脅威の緩和策 |
9. Privacy Considerations | 9. プライバシーに関する考察 |
9.1. Minimizing Tracking and Profiling | 9.1. 追跡とプロファイリングの最小化 |
9.2. Notice and Consent | 9.2. 通知と同意 |
9.3. Data Minimization | 9.3. データの最小化 |
9.4. Agency-Specific Privacy Compliance | 9.4. 機関特有のプライバシーコンプライアンス |
9.5. Blinding in Proxied Federation | 9.5. プロキシされた連携における盲検化 |
10.Usability Considerations | 10.ユーザビリティの考慮事項 |
10.1. General Usability Considerations | 10.1. 一般的なユーザビリティの考慮事項 |
10.2. Specific Usability Considerations | 10.2. 特定のユーザビリティに関する考察 |
10.2.1. User Perspectives on Online Identity | 10.2.1. オンライン・アイデンティティに関するユーザーの視点 |
10.2.2. User Perspectives of Trust and Benefits | 10.2.2. 信頼と利益に関するユーザーの視点 |
10.2.3. User Mental Models and Beliefs | 10.2.3. ユーザーのメンタルモデルと信念 |
11.Equity Considerations | 11.公平性に関する考察 |
12.Examples | 12.事例 |
12.1. Security Assertion Markup Language (SAML) | 12.1. SAML(セキュリティアサーションマークアップ言語) |
12.2. Kerberos Tickets | 12.2. ケルベロスチケット |
12.3. OpenID Connect | 12.3. OpenIDコネクト |
References | 参考文献 |
General References | 一般的な参考資料 |
Standards | 標準規格 |
NIST Special Publications | NIST特別出版物 |
Federal Information Processing Standards | 連邦情報処理規格 |
Appendix A. Changelog | 附属書A 変更履歴 |
NIST SP 800-63-4 Draft
Identity Proofing Process (身元確認プロセス)
NIST SP800-63A-4 Draft
信頼できるもう一つのデバイスを利用した本人認証の方法2種
NIST SP 800-63B-4 Draft
連携
NIST SP 800-63C-4 Draft
手動登録・動的登録
NIST SP 800-63C-4 Draft
● まるちゃんの情報セキュリティきまぐれ日記
・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)
・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS
・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景
・2020.09.24 米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。
・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines
・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書
・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました
・
« 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き... | Main | 米国 国家情報長官室 情報コミュニティ指令 126 号の発行:大統領令 14086 号に基づくシグナルズ・インテリジェンス救済メカニズムの実施手順 (2022.12.13) »
Comments