NIST SP 800-79 Rev.3(初期公開ドラフト)PIV カードおよび派生 PIV クレデンシャル発行者の認可に関するガイドライン
こんにちは、丸山満彦です。
個人アイデンティティ検証(Personal Identity Verification; PIV )カード、派生PIVクレデンシャル発行者の認可に関するガイドラインの改訂第3版の初期ドラフトが公表され、意見募集が行われていますね。。。
特に次の点に興味があるようです。。。
| 1. Are the new and updated controls for identity proofing and the issuance and maintenance of PIV Cards and derived PIV credentials clear and practical to implement? | 1. 身元確認、PIV カードおよび派生 PIV クレデンシャルの発行と保守に関する新規および更新された管理策は、明確で実用的に実施できるか。 |
| 2. Is it easy to determine where the updated controls need to be implemented (i.e., at the enterprise level, issuing facility level, or both)? | 2. 更新された管理策を実施する必要がある場所(すなわち、エンタープライズ・レベル、発行施設レベル、またはその両方)を判断するのは簡単か。 |
| 3. Are the new controls for derived PIV credentials sufficient to provide comparable assurance for PIV Cards? | 3. 派生 PIV クレデンシャルに対する新しい管理策は、PIV カードに同等の保証を提供するのに十分であるか。 |
ということで。。。
● NIST - ITL
| NIST SP 800-79 Rev. 3 (Initial Public Draft) Guidelines for the Authorization of PIV Card and Derived PIV Credential Issuers | NIST SP 800-79 Rev.3(初期公開ドラフト)PIV カードおよび派生 PIV クレデンシャル発行者の認可に関す るガイドライン |
| Announcement | 発表 |
| NIST SP 800-79r3 ipd, Guidelines for the Authorization of PIV Card and Derived PIV Credential Issuers, expands the set of issuer controls to include new and updated requirements from FIPS 201-3, its supporting updated publications (e.g., SP 800-157r1, SP 800-76r2, etc.) and newly-issued OMB Memoranda aimed at achieving compliance with federal requirements with regard to identity proofing and the issuance of a common and reliable form of a primary and derived identity credential. | NIST SP 800-79r3 ipd「PIV カードおよび派生 PIV クレデンシャル発行者の認可のためのガイドライン」は、FIPS 201-3、それをサポートする更新出版物(SP 800-157r1、SP 800-76r2 など)、および新たに発行された OMB 覚書からの新規および更新要件を含む発行者管理のセットを拡張し、身元確認と共通で信頼できる形式の初期および派生 ID クレデンシャルの発行に関する連邦要件への準拠を達成することを目的としている。 |
| NIST is specifically interested in comments on and recommendations for the following topics: | NIST は、特に以下のトピックに関するコメントおよび推奨に関心がある: |
| 1. Are the new and updated controls for identity proofing and the issuance and maintenance of PIV Cards and derived PIV credentials clear and practical to implement? | 1. 身元確認、PIV カードおよび派生 PIV クレデンシャルの発行と保守に関する新規および更新された管理策は、明確で実用的に実施できるか。 |
| 2. Is it easy to determine where the updated controls need to be implemented (i.e., at the enterprise level, issuing facility level, or both)? | 2. 更新された管理策を実施する必要がある場所(すなわち、エンタープライズ・レベル、発行施設レベル、またはその両方)を判断するのは簡単か。 |
| 3. Are the new controls for derived PIV credentials sufficient to provide comparable assurance for PIV Cards? | 3. 派生 PIV クレデンシャルに対する新しい管理策は、PIV カードに同等の保証を提供するのに十分であるか。 |
| Abstract | 概要 |
| The document provides appropriate and useful guidelines for assessing the reliability of issuers of PIV Cards and derived PIV credentials. These issuers store personal information and issue credentials based on OMB policies and the standards published in response to HSPD-12. The reliability of an issuer is of utmost importance when an organization (e.g., a federal agency) is required to trust identity credentials that were created and issued by another organization. This trust relies on having the necessary level of assurance that the reliability of the issuing organization has been established through a formal authorization process. | 本文書は、PIV カードおよび派生 PIV クレデンシャルの発行者の信頼性を評価するための適切かつ有用なガイドラインを提供する。これらの発行者は、OMB ポリシーおよび HSPD-12 に対応して発行された標準に基づいて、個人情報を保管しクレデンシャルを発行する。発行者の信頼性は、組織(連邦機関など)が別の組織によって作成および発行された ID クレデンシャルを信頼する必要がある場合に最も重要である。この信頼は、発行組織の信頼性が正式な認可プロセスを通じて確立されたという必要なレベルの保証を持つことに依存している。 |
・[PDF] NIST.SP.800-79r3.ipd
目次...
| Executive Summary | エグゼクティブ・サマリ |
| 1. Introduction | 1. 序文 |
| 1.1. Applicability, Intended Audience, and Usage | 1.1. 適用可能性、想定読者、および使用法 |
| 1.2. Requirements, Notations, and Conventions | 1.2. 要件、表記、および慣例 |
| 1.3. Organization of This Publication | 1.3. 本書の構成 |
| 2. Preparation for Assessment and Authorization | 2. 評価と認可の準備 |
| 2.1. Organization | 2.1. 組織 |
| 2.2. Issuer | 2.2. 発行者 |
| 2.3. Issuing Facilities | 2.3. 発行施設 |
| 2.4. Outsourcing Issuing Facilities | 2.4. 発行施設の外部委託 |
| 2.5. Assessment and Authorization | 2.5. アセスメントと認可 |
| 2.6. Authorization Boundary of the Issuer | 2.6. 発行者の認可境界 |
| 2.7. Issuer Roles and Responsibilities. | 2.7. 発行者の役割と責任 |
| 2.7.1. Senior Authorizing Official (SAO) | 2.7.1. 上級認可担当者(SAO) |
| 2.7.2. Designated Authorizing Official (DAO) | 2.7.2. 指定認可担当者(DAO). |
| 2.7.3. Enterprise Identity Management Official (EIMO) | 2.7.3. エンタープライズ ID 管理担当者(EIMO) |
| 2.7.4. Issuing Facility Manager | 2.7.4. 発行施設管理者 |
| 2.7.5. Operator | 2.7.5. オペレータ |
| 2.7.6. Assessor | 2.7.6. 評価者 |
| 2.7.7. Applicant Representative (AR) | 2.7.7. 申請代表者(AR) |
| 2.7.8. Privacy Official (PO) | 2.7.8. プライバシー担当者(PO) |
| 2.7.9. Role Assignment Policies | 2.7.9. 役割割り当て方針 |
| 2.7.10. Assessment and Authorization Roles | 2.7.10. 評価および認可の役割 |
| 2.8. Relationship Between SP 800-79 and SP 800-37 | 2.8. SP 800-79 と SP 800-37 の関係 |
| 2.9. Preparing for the Assessment of an Issuer | 2.9. 発行者の評価の準備 |
| 2.9.1. Issuer Duties | 2.9.1. 発行者の義務 |
| 2.9.2. Assessment Team Duties | 2.9.2. 評価チームの義務 |
| 2.10. Authorization Decision | 2.10. 認可決定 |
| 2.10.1. Authorization to Operate (ATO) | 2.10.1. 運用認可(ATO) |
| 2.10.2. Interim Authorization to Operate (IATO) | 2.10.2. 暫定運用認可(IATO) |
| 2.10.3. Denial of Authorization to Operate (DATO) | 2.10.3. 運用認可の拒否(DATO) |
| 2.10.4. Authorization Impact of Information Systems Under SP 800-37 | 2.10.4. SP 800-37 における情報システムの認可の影響 |
| 2.11. Use of Risk in the Authorization Decision | 2.11. 認可決定におけるリスクの使用 |
| 2.12. Authorization Submission Package and Supporting Documentation | 2.12. 認可提出パッケージ及び支援文書 |
| 3. Taxonomy of Issuer Controls | 3. 発行者管理策の分類法 |
| 3.1. Introducing Issuer Controls | 3.1. 発行者管理策の紹介 |
| 3.2. Implementing Issuer Controls | 3.2. 発行者管理策の導入 |
| 3.2.1. Issuer Controls Implemented at the Organizational or Facility Level | 3.2.1. 組織または施設レベルで実施される発行者管理策 |
| 4. Issuer Controls Assessment and the Authorization Decision Process | 4. 発行者管理アセスメントと認可決定プロセス |
| 4.1. Assessment Methods | 4.1. 評価方法 |
| 4.2. Issuer Assessment Report | 4.2. 発行者評価報告 |
| 5. Assessment and Authorization Life Cycle | 5. 評価と認可のライフサイクル |
| 5.1. Initiation Phase | 5.1. 開始フェーズ |
| 5.2. Assessment Phase | 5.2. 評価フェーズ |
| 5.3. Authorization Phase | 5.3. 認可フェーズ |
| 5.4. Monitoring Phase | 5.4. モニタリング・フェーズ |
| References | 参考文献 |
| Appendix A. Acronyms | 附属書A. 略語 |
| Appendix B. Glossary | 附属書B. 用語集 |
| Appendix C. Issuer Readiness Review Checklist | 附属書C. 発行体準備評価チェックリスト |
| Appendix D. Operations Plan Templates | 附属書D. 業務計画のテンプレート |
| D.1. Operations Plan Template for PIV Card Issuers | D.1. PIV カード発行者の運用計画テンプレート |
| D.2. Operations Plan Template for Derived PIV Credential Issuers | D.2. 派生 PIV クレデンシャル発行者の運用計画テンプレート |
| Appendix E. Assessment Report Template | 附属書 E. アセスメント報告テンプレート |
| Appendix F. Sample Transmittal and Decision Letters | 附属書 F. 送信書および決定書のサンプル |
| Appendix G. Issuer Controls and Assessment Procedures | 附属書 G. 発行体の管理および評価手続き |
| G.1. Controls and Assessment Procedures for PCIs | G.1. PCI のための管理策と評価手続き |
| G.2. Controls and Assessment Procedures for DPCIs | G.2. DPCI のための管理策と評価手続き |
| Appendix H. Assessment and Authorization Tasks | 附属書 H. 評価と認可のタスク |
| Appendix I. Revision History | 附属書 I. 改訂履歴 |
エグゼクティブサマリー...
| Executive Summary | 要旨 |
| Homeland Security Presidential Directive 12 [HSPD-12] established a policy for the creation, issuance, and use of personal identification credentials to identify federal employees and contractors securely and reliably. In response, NIST developed and published FIPS 201, Personal Identity Verification (PIV) of Federal Employees and Contractors [FIPS201], as well as several NIST Special Publications (SPs) to provide additional specifications and supporting information. Together, these documents provide a foundation for standardizing the processes related to the adoption and use of government-wide personal identification credentials as a means to verify the identities of credential holders. The implementation of PIV specifications involves the collection, protection, and dissemination of personal information, which itself requires privacy protection. | 国土安全保障大統領指令 12 [HSPD-12]は、連邦職員および請負業者を安全かつ確実に識別する ための個人識別クレデンシャルの作成、発行、および使用に関する方針を確立した。これに対応して、NIST は、FIPS 201「連邦職員および請負業者の個人 ID 検証(PIV)」[FIPS201]と、 追加の仕様および支援情報を提供するいくつかの NIST 特別刊行物(SP)を開発および発行した。併せて、これらの文書 は、クレデンシャル保持者の ID を検証する手段として政府全体の個人識別クレデンシャルの採用 および使用に関連するプロセスを標準化するための基礎を提供する。PIV 仕様の実装は、個人情報の収集、保護、および普及を伴うが、それ自体プライバシー保護が必要である。 |
| In light of the requirements for both improved security and the protection of personal privacy, [HSPD-12] established four control objectives, one of which includes the call for forms of identification that are “issued by providers whose reliability has been established by an official accreditation process.” In response, Appendix A.1 of [FIPS201] specifies that NIST “…develop a new accreditation methodology that is objective, efficient, and will result in consistent and repeatable accreditation decisions…” This led to the development of SP 800-79, Guidelines for the Accreditation of Personal Identity Verification Card Issuers.[1] | セキュリティの改善と個人のプライバシー保護の両方の要件に照らして、[HSPD-12] は 4 つの管理目標を設定し、その 1 つに「公式の認定プロセスによって信頼性が確立されたプロバイダによって発行される」身分証明書を要求している。これを受けて、[FIPS201] の附属書 A.1 は、NIST に対して「...客観的で効率的であり、一貫性と再現性のある認定判 定をもたらす新しい認定手法を開発すること...」と指定している。これが、SP 800-79「個人 ID 検証カード発行者の認定のためのガイドライン」の策定につながった。 |
| This update to SP 800-79 reflects the third revision of [FIPS201], which was published in 2022. It provides appropriate and useful guidelines for assessing the reliability of PIV Card issuers and derived PIV credential issuers, which is of utmost importance when an organization (e.g., a federal agency) is required to trust identity credentials that were created and issued by another organization (i.e., another federal agency). This trust only exists if the relying organization has the necessary level of assurance that the credential is established via a formal and reliable authorization process. | この SP 800-79 の更新は、2022 年に発行された[FIPS201]の第 3 版を反映している。このガイドラインは、PIV カード発行者および派生 PIV クレデンシャル発行者の信頼性を評 価するための適切かつ有用なガイドラインを提供する。これは、組織(連邦機関など)が、他 の組織(別の連邦機関など)によって作成および発行された ID クレデンシャルを信頼す る必要がある場合に最も重要である。この信頼は、依拠する組織が、クレデンシャルが正式で信頼できる認可プロ セスを経て確立されたという必要なレベルの保証を持っている場合にのみ存在する。 |
| This SP provides an assessment and authorization methodology for verifying that issuers are adhering to the standards and implementation directives developed under [HSPD-12]. The salient features of the methodology are: | この SP は、[HSPD-12]に基づいて策定された標準および実施指令に発行者が準拠していることを 検証するための評価および認可方法を提供する。この方法論の主な特徴は以下の通りである: |
| • Controls derived from specific requirements in [FIPS201] and relevant documents for a PIV Card issuer (PCI) and a derived PIV credential issuer (DPCI) | ・PIV カード発行者(PCI)および派生 PIV クレデンシャル発行者(DPCI)に対する [FIPS201]の特定の要件および関連文書に由来する制御。 |
| • Procedures for verifying and monitoring adherence to the requirements through an assessment of the implementation of the controls (i.e., control assessment) | ・管理策の実装の評価(すなわち、管理策評価)を通して要件の順守を検証し監視するための手順。 |
| • Guidance for evaluating the result of an assessment in order to arrive at the authorization decision | ・認可決定に至るための評価結果のガイダンス |
| Authorizing an issuer based on the assessment and authorization methodology in this document establishes the reliability of the issuer. Authorization is the basis for establishing trust in an issuer and requires that the assessment be thorough and comprehensive. Careful planning, preparation, and the commitment of time, energy, and resources are required. These guidelines are designed to assist the organization in creating the needed roles, assigning responsibilities, developing an acceptable operations plan, drawing the issuer’s authorization boundary, evaluating the findings of all control assessments, and making a proper authorization decision. | 本文書の評価と認可方法に基づいて発行者を認可することは、発行者の信頼性を確立する。認可は発行者の信頼を確立するための基礎であり、アセスメントが徹底的かつ包括的であるこ とが要求される。入念な計画、準備、時間、エネルギー、リソースの投入が求められる。本ガイドラインは、組織が必要な役割を設定し、責任を割り当て、許容可能な業務計画を策定し、発行者の認可境界線を描き、すべての統制評価の所見を評価し、適切な認可決定を行うことを支援するために作成されている。 |
| Since organizations may vary significantly in how they choose to structure their operations, these guidelines have been developed to support organizational flexibility and minimize the effort needed to assess, authorize, and monitor the reliability of issuers. The authorization methodology also generates assessment findings and resulting authorization decisions that are consistent and repeatable. These characteristics provide assurance to an organization’s management that an issuer who has been authorized based on these guidelines can be trusted as a provider of secure and reliable identification credentials, as required by [HSPD-12]. | 組織がどのようにオペレーションを構成するかは大きく異なる可能性があるため、本ガイドラインは、組織の柔軟性をサポートし、発行者の評価、認可、信頼性の監視に必要な労力を最小化するために開発された。認可の方法論はまた、一貫性があり再現可能な評価結果およびその結果としての認可決定を生成する。これらの特性は、これらのガイドラインに基づいて認可された発行者が、[HSPD-12]で要求さ れているように、安全で信頼できる ID クレデンシャルのプロバイダとして信頼できることを組織の管理者に保証するものである。 |
| This document shall be used by both small and large organizations (i.e., federal departments and agencies) and can be applied whether their issuance processes are: | この文書は、小規模な組織と大規模な組織(すなわち、連邦省庁)の両方で使用するものとし、 発行プロセスが以下のいずれであっても適用できる: |
| • Centrally located, | ・中央に配置されている、 |
| • Geographically dispersed, or | ・地理的に分散している |
| • Outsourced in varying degrees to other organizations or service providers. | ・他の組織やサービスプロバイダに程度の差はあれ委託している。 |
| [1] SP 800-37-2, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy [SP800-37], has deprecated the use of the term “accreditation” in favor of the term “authorization.” This is reflected in the title of the present revision. | [1] SP 800-37-2「情報システムと組織のためのリスクマネジメントフレームワーク: セキュリティとプライバシーのためのシステムライフサイクルアプローチ」 [SP800-37]は、認可について、"accreditation "という用語の使用を推奨せず、"authorization "という用語に変更した。これは、本改訂のタイトルに反映されている。 |
PIV関連のFIPS, SP, IR...
少し古い?といものもありますが、、、これだけPIVに関連する文書を積み重ねているUSはすごい...
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.09.30 NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ
・2023.01.14 米国 NIST SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン
・2023.01.12 米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン
・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)
« 連邦政府テクノロジー・リーダーがOMBのAI政策ドラフトについて知っておくべきことトップ10 | Main | NIST SP 1800-28 (初期公開ドラフト) データの機密性: データ漏洩に対する資産の識別と防御 »
Comments