米国 NIST SP 800-63-4(第2次公開草案)デジタル・アイデンティティ・ガイドライン他...
こんにちは、丸山満彦です。
NIST SP 800-63-4(第2次公開草案)デジタル・アイデンティティ・ガイドラインが公表され、意見募集されていますね...
4,000通を超えるコメントがあったため、このドラフトの発表が遅れたのでしょうかね...
NIST SP 800-63-4 (2nd Public Draft) Digital Identity Guidelines | NIST SP 800-63-4(第2次公開草案)デジタル・アイデンティティ・ガイドライン |
NIST SP 800-63A-4 (2nd Public Draft) Digital Identity Guidelines: Identity Proofing and Enrollment | NIST SP 800-63A-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: アイデンティティ証明および登録 |
NIST SP 800-63B-4 (2nd Public Draft) Digital Identity Guidelines: Authentication and Authenticator Management | NIST SP 800-63B-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: 認証および認証子管理 |
NIST SP 800-63C-4 (2nd Public Draft) Digital Identity Guidelines: Federation and Assertions | NIST SP 800-63C-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: フェデレーションおよびアサーション |
4つ合わせて467ページです...これは国力だ(^^)
こちらを参考に...
崎村さんのブログ
● @_Nat Zone - Identity, Privacy, and Music
・2024.08.22 NIST SP800-63-4 デジタルアイデンティティガイドライン更新:セキュリティと利便性の両立を目指して
富士榮さんのブログ
● IdM実験室
・2024.08.23 NIST SP800-63-4のSecond Public Draftが出てきました
● NIST - ITL
プレス...
・2024.08.21 NIST Releases Second Public Draft of Digital Identity Guidelines for Final Review
NIST Releases Second Public Draft of Digital Identity Guidelines for Final Review | NIST がデジタル・アイデンティティ・ガイドラインの第 2 次公開草案を発表し、最終レビューを求める |
・NIST is offering updated guidance on a wide range of methods people use to prove their identity, from digital wallets and passkeys to physical IDs. | ・NIST は、デジタル・ウォレットやパスキーから物理的アイデンティティ に至るまで、人々が自分の アイデンティティを証明するために使用する幅広い方法について、最新のガイダンスを提供している。 |
・The guidance aims to ensure security, privacy and accessibility during the identity-proofing process for people accessing government services. | ・このガイダンスは、政府サービスにアクセスする人の アイデンティティ証明プロセスにおいて、セキュリ ティ、プライバシー、およびアクセシビリティを確保することを目的としている。 |
・NIST is seeking public comments on the draft guidelines through Oct. 7, 2024. | ・NIST は、2024 年 10 月 7 日までガイドライン草案に対するパブリック・コメントを募集している。 |
GAITHERSBURG, Md. — When we need to show proof of identity, we might reach for our driver’s license — or perhaps, sooner than many of us imagine, we may opt for a digital credential stored on a smartphone. To ensure we can use both novel and time-tested methods to prove our identities securely when accessing essential services, the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has updated its draft digital identity guidance. | マサチューセッツ州ゲーサーバーグ - 身分証明を示す必要があるとき、私たちは運転免許証に手を伸 ばすかもしれない。あるいは、私たちの多くが想像しているよりも早く、スマートフォン に保存されたデジタル・クレデンシャルを選ぶかもしれない。米国商務省の国立標準技術研究所(NIST)は、必要不可欠なサービスにアクセスする際に、新規の方法と従来から慣れ親しんだ方法の両方を使用して ID を安全に証明できるようにするため、デジタル・アイデンティティ・ガイドラインの草案を更新した。 |
The draft Digital Identity Guidelines (NIST Special Publication [SP] 800-63 Revision 4 and its companion publications SPs 800-63A, 800-63B and 800-63C) have been updated to reflect the robust feedback that NIST received in 2023 as part of a four-month-long comment period and yearlong period of external engagement. | デジタル・アイデンティティ・ガイドラインの草案(NIST 特別刊行物 [SP] 800-63 Revision 4 およびその関連出版物 SPs 800-63A、800-63B、800-63C)は、NIST が 2023 年に 4 か月に及ぶコメント期間と 1 年間に及ぶ外部関与の一環として受けた強固なフィードバックを反映して更新された。 |
“Today’s draft revision from NIST highlights the Biden-Harris administration’s commitment to strengthening anti-fraud controls while ensuring broad and equitable access to digital services,” said Jason Miller, deputy director for management at the Office of Management and Budget. “By incorporating feedback from private industry, federal agencies, privacy and civil rights advocacy groups, and members of the public, NIST has developed strong and fair draft guidelines that, when finalized, will help federal agencies better defend against evolving threats while providing critical benefits and services to the American people, particularly those that need them most.” | 行政管理予算局のジェイソン・ミラー次長は次のように述べた。「本日のNISTの改訂草案は、デジタル・サービスへの広範かつ公平なアクセスを確保しつつ、不正防止対策を強化するというバイデン-ハリス政権のコミットメントを浮き彫りにするものである。民間企業、連邦政府機関、プライバシーおよび公民権擁護団体、そして一般市民からのフィードバックを取り入れることで、NISTは強力かつ公正なガイドライン草案を作成した。このガイドライン草案が最終化されれば、連邦政府機関は進化する脅威に対してより良い防御を行うことができるようになり、同時にアメリカ国民、特にそれを最も必要とする人々に重要な利益とサービスを提供することができるようになる。」 |
“Everyone should be able to lawfully access government services, regardless of their chosen methods of identification,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “These improved guidelines are intended to help organizations of all kinds manage risk and prevent fraud while ensuring that digital services are lawfully accessible to all.” | 標準技術担当商務次官兼NISTディレクターのローリー・E・ロカシオは、は次のように述べた。「誰もが、選択した本人確認方法にかかわらず、合法的に政府サービスにアクセスできるべきである。これらの改善されたガイドラインは、あらゆる種類の組織がリスクを管理し、不正行為を防止するのに役立つと同時に、デジタル・サービスに合法的にアクセスできるようにすることを意図している。」 |
The suite of documents is the second public draft of the updated guidelines, which NIST first announced in December 2022. NIST is seeking public comment on this new iteration, which is intended to make access to online services both secure and straightforward, regardless of the means by which a person chooses to prove their identity. | この一連の文書は、NISTが2022年12月に初めて発表したガイドライン更新の2回目の公開草案である。NISTは、オンライン・サービスへのアクセスを、人がどのような手段で本人であることを証明するかを問わず、安全かつ容易にすることを意図したこの新しい版について、パブリック・コメントを求めている。 |
“We are trying to make sure we maintain as many pathways as possible to enable secure online access to services,” said NIST Digital Identity Program Lead Ryan Galluzzo, one of the publication’s authors. “We want to open up the use of modern digital pathways while still allowing for physical and manual methods whenever they may be necessary.” | この出版物の著者の一人である NIST デジタル ID プログラム・リードのライアン・ガ ルッツォ氏は、次のように述べた。「われわれは、サービスへの安全なオンライン・アクセスを可能にするため に、できるだけ多くの経路を確保しようとしている。私たちは、最新のデジタル経路の使用を開放する一方で、物理的および手動的な方法が必要な場合はいつでも利用できるようにしたい。」 |
Proving one’s identity is often a necessary step in accessing services from federal agencies. Identity management is important to these agencies and other organizations, especially because fraudulent claims can be very costly to both organizations and individuals, but not everyone uses the same methods to demonstrate their identity either in person or online. Defending against fraud while maintaining accessibility for a multitude of potential users are two of the goals NIST is trying to balance with the update, Galluzzo said . | 自分のアイデンティティを証明することは、連邦政府機関のサービスを利用する上でしばしば必要なステップである。特に不正請求は、組織と個人の両方にとって甚大な損害となる可能性があるため、アイデンティティ管理はこれらの機関やその他の組織にとって重要である。不正行為から身を守ると同時に、多数の潜在的な利用者のアクセシビリティを維持することは、NISTが更新でバランスを取ろうとしている目標の2つである、とガルッツォ氏は言う。 |
“We want to open up the use of modern digital pathways while still allowing for physical and manual methods whenever they may be necessary.” —Ryan Galluzzo, NIST Digital Identity Program Lead | 「私たちは、最新のデジタル経路の使用を開放する一方で、物理的な方法と手作業による方法が必要な場合はいつでもそれを可能にしたいと考えている」。-ライアン・ガルッツォ、NISTデジタル・アイデンティティ・プログラム・リード |
NIST received nearly 4,000 comments from 140 organizations and individuals on the 2022 version of the draft. Many of these comments focused on expanding the guidance on two technologies that are rapidly growing in use: syncable authenticators and digital credentials presented through user-controlled wallets. Syncable authenticators, often called passkeys, offer greater security than passwords while allowing a user to save a single passkey on multiple devices. User-controlled wallets, which several major companies currently offer, can securely store payment information along with other items like plane tickets and digital versions of physical identification documents like driver’s licenses. | NIST は、2022 年版の草案に対して 140 の組織と個人から 4,000 近いコメントを受け取った。これらのコメントの多くは、利用が急速に拡大している 2 つの技術、すなわち同期可能な認証子と、ユーザが管理するウォレットを通じて提示されるデジタル・クレデンシャルに関するガイダンスの拡大に重点を置いていた。同期可能な認証子は、パスキーと呼ばれることが多いが、パスワードよりも高いセキュリ ティを提供する一方で、ユーザは複数のデバイスに 1 つのパスキーを保存することができる。現在、大手企業数社が提供しているユーザー管理ウォレットは、航空券や運転免許証のような物理的な身分証明書のデジタル版といった他のアイテムとともに、支払い情報を安全に保存することができる。 |
The expanded guidance around passkeys is found in volume SP 800-63B, Galluzzo said, while additions concerning digital wallets are in volume SP 800-63C. | ガルッツォ氏は次のように述べた。パスキーに関する拡張ガイダンスはSP800-63Bにあり、デジタルウォレットに関する追加ガイダンスはSP800-63Cにある。」 |
“In response to the comments we received on the first draft, we added more detail about wallets,” he said. “We added guidance on how to trust the wallet itself and on how to trust its contents. There is more about how to securely present the information stored on the wallet, as well as how the other party can trust it.” | 「最初の草案に寄せられたコメントを受けて、我々はウォレットに関する詳細を追加した。ウォレットそのものを信頼する方法と、その中身を信頼する方法についてのガイダンスを追加した。ウォレットに保存されている情報をどのように安全に提示するか、また、相手がどのようにそれを信頼するかについて、さらに詳しく説明した。」 |
Not everyone will feel comfortable or be able to use digital passkeys or wallets, however, and not everyone has a smartphone. The updated draft also expands guidance on how agencies can maintain access to services for people using more traditional forms of identification, Galluzzo said. This includes details on in-person identity proofing and mechanisms for handling exceptions. It also includes the concept of the “applicant reference” — meaning a trusted individual who can vouch for a person who doesn’t have access to identification documents, including a person who may not qualify for traditional forms of evidence or one whose evidence may have been lost or destroyed. | ガルッツォ氏はまた、次のように述べた。「しかし、すべての人がデジタルパスキーやウォレットを快適に使えるとは限らないし、すべての人がスマートフォンを持っているわけでもない。更新された草案では、より伝統的な身分証明書を使用している人々のサービスへのアクセスを機関が維持する方法についてのガイダンスも拡大されている、これには、対面での身分証明や例外処理の仕組みについての詳細が含まれる。また、「申請者参照」の概念も含まれている。これは、従来の証明形式を利用する資格がない人、または証明が紛 失または破棄された可能性のある人を含め、アイデンティティ文書を利用できない人を保証できる信頼できる個人を意味する。」 |
The authors also sought input from NIST’s team of face recognition and analysis experts to refine the guidance on using biometrics to identify a person through a face image. Galluzzo said that biometric-based methods of identity verification have been maintained in the guidance, but that for this path to achieve NIST’s goal of balancing security and access, systems that use these technologies must perform accurately, adhere to the privacy requirements articulated in the guidance, and include manual processes to address errors or challenges that users may encounter. | 著者らはまた、NISTの顔認識および分析の専門家チームから意見を求め、顔画像を通じて人物を識別するためにバイオメトリクスを使用する際のガイダンスを改良した。ガルッツォ氏によると、バイオメトリクスに基づく本人確認方法はガイダンスの中で維持 されているが、この方法がセキュリティとアクセスのバランスをとるという NIST の目標を達成するた めには、これらの技術を使用するシステムは正確に動作し、ガイダンスの中で明示されたプライバシ ー要件を遵守し、ユーザが遭遇する可能性のあるエラーや課題に対処するための手動プロセスを 含まなければならない。 |
“We continue to augment the guidance to emphasize the importance of providing alternatives to face recognition and biometrics, particularly for systems supporting public services,” he said. | 「我々は、特に公共サービスをサポートするシステムにおいて、顔認証や生体認証に代わるものを提供することの重要性を強調するため、ガイダンスを引き続き補強していく」と述べた。 |
・2024.08.21 NIST SP 800-63-4: Digital Identity Guidelines | Second Public Draft
NIST SP 800-63-4: Digital Identity Guidelines | Second Public Draft | NIST SP 800-63-4: デジタル・アイデンティティ・ガイドライン|第 2 次公開草案 |
The rapid proliferation of online services over the past few years has heightened the need for reliable, equitable, secure, and privacy-protective digital identity solutions. Revision 4 of NIST’s Special Publication (SP) 800-63, Digital Identity Guidelines, responds to the changing digital landscape that has emerged since the last major revision of this suite was published in 2017—including the real-world implications of online risks. The guidelines present the process and technical requirements for meeting digital identity management assurance levels for identity proofing, authentication, and federation, including requirements for security and privacy as well as considerations for fostering equity and the usability of digital identity solutions and technology. | 過去数年間のオンライン・サービスの急速な普及により、信頼性が高く、公平で、安全で、プライ バシを保護するデジタル・アイデンティティ・ソリューションの必要性が高まっている。NIST の特別刊行物(SP)800-63「デジタル・アイデンティティ・ガイドライン」の改訂 4 は、このスイートの最後の主要改訂が 2017 年に発行されて以来、オンライン・リスクの現実世界での影響を含め て、変化するデジタル環境に対応している。このガイドラインは、セキュリティとプライバシーの要件だけでなく、公平性とデジタル・アイデンティティ・ソリューションおよび技術の使いやすさを促進するための考慮事項を含め、アイデンティティ証明、認証、およびフェデレーションに関するデジタル ID 管理の保証レベルを満たすためのプロセスと技術要件を提示している。 |
Webinar on August 28, 2024 | Digital Identity Guidelines Update | 2024年8月28日ウェビナー|デジタル・アイデンティティ・ガイドラインの更新 |
Join us on 8/28 from 12:00 pm - 2:00 pm EDT for a webinar where we will cover the major changes to all four volumes. Registration is open until the event begins. | 8月28日12:00~14:00(米国東部夏時間)に開催されるウェビナーに参加し、全4巻の主な変更点をカバーする。参加登録はイベント開始まで受け付けている。 |
In December 2022, NIST released the Initial Public Draft (IPD) of SP 800-63, Revision 4. Over the course of a 119-day public comment period, NIST received close to 4000 comments that improved these Digital Identity Guidelines in a manner that supports NIST's critical goals of providing foundational risk management processes and requirements that enable secure, private, equitable, and accessible identity systems. | 2022年12月、NISTはSP 800-63改訂4の初期公開草案(IPD)を発表した。119 日間の意見公募期間中、NIST には 4000 近い意見が寄せられ、安全で、プライベートで、公平で、アクセシブルなアイデンティティ・システムを可能にする基礎的なリスク管理プロセスと要件を提供するという NIST の重要な目標をサポートする形で、このデジタル・アイデンティティ・ガイドラインが改善された。 |
Based on this initial wave of feedback, several substantive changes have been made across all the volumes. These changes include but are not limited to: updated text and context setting for risk management; added recommended continuous evaluation metrics; expanded fraud requirements and recommendations; restructured identity proofing controls; integrated syncable authenticators; and added user-controlled wallets to the federation model. | この最初のフィードバックの波に基づいて、すべてのボリュームにわたっていくつかの実質的な 変更が加えられた。これらの変更には、リスク管理に関する文言およびコンテキスト設定の更新、推奨される継続 的評価基準の追加、不正要件および推奨事項の拡大、アイデンティティ証明コントロールの再構築、同期可能な認証子の統合、フェデレーション・モデルへのユーザ制御ウォレットの追加などが含まれるが、こ れらに限定されない。 |
Additionally, this draft seeks to: | さらに、この草案は以下を目指す: |
・Address comments received in response to the IPD of Revision 4 of SP 800-63. | ・SP 800-63 の改訂 4 の IPD に対して寄せられたコメントに対応する。 |
・Clarify the text to address the questions and issues raised in the public comments. | ・パブリックコメントで提起された質問と問題に対処するため、本文を明確にする。 |
・Update all four volumes of SP 800-63 based on current technology and market developments, the changing digital identity threat landscape, and organizational needs for digital identity solutions to address online security, privacy, usability, and equity. | ・現在の技術および市場の発展、変化するデジタル ID 脅威の状況、およびオンライン・セ キュリティ、プライバシー、ユーザビリティ、および公平性に対処するデジタル ID ソ リューションに対する組織のニーズに基づいて、SP 800-63 の全 4 巻を更新する。 |
These second public drafts (2PD) include: | これらの第 2 公開草案(2PD)には以下が含まれる: |
NIST SP 800-63-4 2pd, Digital Identity Guidelines | NIST SP 800-63-4 2PD、デジタル・アイデンティティ・ガイドライン |
NIST SP 800-63A-4 2pd, Digital Identity Guidelines: Identity Proofing and Enrollment | NIST SP 800-63A-4 2pd、デジタル・アイデンティティ・ガイドライン: アイデンティティ証明および登録 |
NIST SP 800-63B-4 2pd, Digital Identity Guidelines: Authentication and Authenticator Management | NIST SP 800-63B-4 2pd、デジタル・アイデンティティ・ガイドライン: 認証および認証者管理 |
NIST SP 800-63C-4 2pd, Digital Identity Guidelines: Federation and Assertions | NIST SP 800-63C-4 2pd、デジタル・アイデンティティ・ガイドライン: フェデレーションおよびアサーション |
・2024.08.21 NIST SP 800-63-4 (2nd Public Draft) Digital Identity Guidelines
NIST SP 800-63-4 (2nd Public Draft) Digital Identity Guidelines | NIST SP 800-63-4(第2次公開草案)デジタル・アイデンティティ・ガイドライン |
Announcement | 発表 |
NIST requests comments on the second draft of the fourth revision to the four-volume suite of Special Publication 800-63, Digital Identity Guidelines. This publication presents the process and technical requirements for meeting the digital identity management assurance levels specified in each volume. They also provide considerations for enhancing privacy, equity, and usability of digital identity solutions and technology. | NIST は、Special Publication 800-63 の 4 巻からなる「デジタル・アイデンティティ・ガイドライン」の第 4 版改訂の第 2 草案に対するコメントを求めている。本書は、各巻で指定されたデジタル・アイデンティティ 管理保証レベルを満たすためのプロセスと技術要件を提 示する。また、デジタル・アイデンティティ ソリューションおよび技術のプライバシー、公平性、およびユーザビリティを強化するための考慮事項も示している。 |
Background | 背景 |
In December 2022, NIST released the Initial Public Draft (IPD) of SP 800-63, Revision 4. Over the course of a 119-day public comment period, the authors received exceptional feedback from a broad community of interested entities and individuals. The input from nearly 4,000 specific comments has helped advance the improvement of these Digital Identity Guidelines in a manner that supports NIST's critical goals of providing foundational risk management processes and requirements that enable the implementation of secure, private, equitable, and accessible identity systems. Based on this initial wave of feedback, several substantive changes have been made across all of the volumes. These changes include but are not limited to the following: | 2022年12月、NISTはSP 800-63改訂4の初期公開草案(IPD)を公表 した。119日間のパブリックコメント期間中、著者は幅広い関係団体や個人から非常に多くのフィードバックを得た。約 4,000 件の具体的なコメントからのインプットは、安全で、プライベートで、公平で、アクセ ス可能な アイデンティティ・システムの実装を可能にする基礎的なリスク管理プロセスと要件を提供するという NIST の重要な目標を支援する形で、デジタル・アイデンティティ・ガイドラインの改善を進めるのに役立った。この最初のフィードバックの波に基づいて、すべてのボリュームにわたっていくつかの実質的な 変更が加えられた。これらの変更には以下が含まれるが、これらに限定されない: |
1. Updated text and context setting for risk management. Specifically, the authors have modified the process defined in the IPD to include a context-setting step of defining and understanding the online service that the organization is offering and intending to potentially protect with identity systems. | 1. リスク管理に関する本文および背景設定を更新した。具体的には、著者は IPD で定義されたプロセスを修正し、組織が提供し、アイデンティティ・システムで保護する可能性があるオンライン・サービスを定義し理解するコンテキスト設定ステップを含めるようにした。 |
2. Added recommended continuous evaluation metrics. The continuous improvement section introduced by the IPD has been expanded to include a set of recommended metrics for holistically evaluating identity solution performance. These are recommended due to the complexities of data streams and variances in solution deployments. | 2. 推奨される継続的評価基準を追加した。IPD によって導入された継続的改善のセクションは拡張され、アイデンティティ・ソリューションのパフォーマンスを全体的に評価するための推奨される測定基準のセットが含まれるようになった。これらは、データ・ストリームの複雑さとソリューションの展開のばらつきのために推奨される。 |
3. Expanded fraud requirements and recommendations. Programmatic fraud management requirements for credential service providers and relying parties now address issues and challenges that may result from the implementation of fraud checks. | 3. 拡張された不正要件および推奨。クレデンシャル・サービス・プロバイダおよび依拠当事者に対するプログラム上の不正 管理要件は、不正チェックの実装から生じる可能性のある問題および課題に対応するようにな った。 |
4. Restructured the identity proofing controls. There is a new taxonomy and structure for the requirements at each assurance level based on the means of providing the proofing: Remote Unattended, Remote Attended (e.g., video session), Onsite Unattended (e.g., kiosk), and Onsite Attended (e.g., in-person). | 4. アイデンティティ証明コントロールを再構築した。証明を提供する手段に基づいて、各保証レベルの要件に新しい分類法と構造が設けられた: 遠隔無人、遠隔出席(ビデオ・セッションなど)、現場無人(キオスクなど)、現場出席 (対面など)である。 |
5. Integrated syncable authenticators. In April 2024, NIST published interim guidance for syncable authenticators. This guidance has been integrated into SP 800-63B as normative text and is provided for public feedback as part of the Revision 4 volume set. | 5. 同期可能な統合器。2024 年 4 月、NIST は、同期可能な認証子に関する暫定ガイダンスを公表 した。このガイダンスは、規範となるテキストとして SP 800-63B に統合され、リビジョン 4 のボリュームセットの一部として、一般からのフィードバックのために提供されている。 |
6. Added user-controlled wallets to the federation model. Digital wallets and credentials (called "attribute bundles" in SP 800-63C) are seeing increased attention and adoption. At their core, they function like a federated IdP, generating signed assertions about a subject. Specific requirements for this presentation and the emerging context are presented in SP 800-63C-4. | 6. フェデレーション・モデルにユーザ管理ウォレットを追加した。デジタル・ウォレットとクレデンシャル(SP 800-63C では「属性バンドル」と呼ばれる)は、注目と採用 が高まっている。その核心は、フェデレーショ ンされた IdP のように機能し、対象者に関する署名されたアサーションを生成することである。このプレゼンテーションの具体的な要件と新たなコンテキストは、SP 800-63C-4 に示されている。 |
The rapid proliferation of online services over the past few years has heightened the need for reliable, equitable, secure, and privacy-protective digital identity solutions. | 過去数年間のオンライン・サービスの急速な普及により、信頼性が高く、公平で、安全で、プライバシを保護するデジタル・アイデンティティ ソリューションの必要性が高まっている。 |
Revision 4 of NIST Special Publication 800-63, Digital Identity Guidelines, intends to respond to the changing digital landscape that has emerged since the last major revision of this suite was published in 2017 — including the real-world implications of online risks. The guidelines present the process and technical requirements for meeting digital identity management assurance levels for identity proofing, authentication, and federation, including requirements for security and privacy as well as considerations for fostering equity and the usability of digital identity solutions and technology. | NIST 特別刊行物 800-63「デジタル・アイデンティティ・ガイドライン」の改訂 4 は、このスイートの最後の大改訂が 2017 年に発行されて以来、オンライン・リスクの現実世界への影響を含め、変化するデジタ ル環境に対応することを意図 している。このガイドラインは、セキュリティとプライバシに関する要件だけでなく、公平性を育むための 考慮事項や、デジタル・アイデンティティ ソリューションおよび技術のユーザビリティを含め、アイデンティティ証明、 認証、およびフェデレーションに関するデジタル・アイデンティティ管理保証レベルを満たすための プロセスおよび技術要件を示している。 |
Based on the feedback provided in response to our June 2020 Pre-Draft Call for Comments, research into real-world implementations of the guidelines, market innovation, and the current threat environment, this draft seeks to: | 2020 年 6 月のプレ・ドラフト意見募集に対して提供されたフィードバック、ガイドラインの実世界での 実装に関する調査、市場の革新、および現在の脅威環境に基づいて、このドラフトは以下を目指す: |
・Address comments received in response to the IPD of Revision 4 of SP 800-63 | ・SP 800-63 の改訂 4 の IPD に対して寄せられたコメントに対応する。 |
・Clarify the text to address the questions and issues raised in the public comments | ・パブリックコメントで提起された疑問や問題に対処するため、本文を明確にする。 |
・Update all four volumes of SP 800-63 based on current technology and market developments, the changing digital identity threat landscape, and organizational needs for digital identity solutions to address online security, privacy, usability, and equity | ・現在の技術および市場の発展、変化するデジタル・アイデンティティ 脅威の状況、およびオンライン・セ キュリティ、プライバシー、ユーザビリティ、および公平性に対処するデジタル・アイデンティティ ソ リューションに対する組織のニーズに基づいて、SP 800-63 の全 4 巻を更新する。 |
Note to Reviewers | 査読者への注記 |
NIST is specifically interested in comments and recommendations on the following topics: | NIST は、特に次のトピックに関するコメントおよび提言に関心を持っている: |
1. Risk Management and Identity Models | 1. リスク管理と アイデンティティ・モデル |
Is the "user controlled" wallet model sufficiently described to allow entities to understand its alignment to real-world implementations of wallet-based solutions such as mobile driver's licenses and verifiable credentials? | ユーザが管理する」ウォレット・モデルは、モバイル運転免許証や検証可能なクレデンシャルなど のウォレット・ベースのソリューションの実際の実装との整合性をエンティティが理解できるよう に、十分に説明されているか。 |
Is the updated risk management process sufficiently well-defined to support an effective, repeatable, real-world process for organizations seeking to implement digital identity system solutions to protect online services and systems? | 更新されたリスク管理プロセスは、オンライン・サービスおよびシステムを保護するためにデジタル・アイデンティティ システム・ソリューションの実装を目指す組織にとって、効果的で反復可能な実世界のプロセスを支援するために十分に定義されているか。 |
2. Identity Proofing and Enrollment | 2. アイデンティティ証明および登録 |
Is the updated structure of the requirements around defined types of proofing sufficiently clear? Are the types sufficiently described? | 定義された証明の種類に関する要件の更新された構造は、十分に明確であるか。その種類は十分に説明されているか。 |
Are there additional fraud program requirements that need to be introduced as a common baseline for CSPs and other organizations? | CSP およびその他の組織の共通基準として導入する必要がある追加の不正プログラム要件はあるか。 |
Are the fraud requirements sufficiently described to allow for appropriate balancing of fraud, privacy, and usability trade-offs? | 不正行為要件は、不正行為、プライバシー、およびユーザビリティのトレードオフの適切なバラン スを可能にするように十分に記述されているか。 |
Are the added identity evidence validation and authenticity requirements and performance metrics realistic and achievable with existing technology capabilities? | 追加されるアイデンティティ証拠の検証および真正性の要件とパフォーマンス測定基準は、既存の技術能力で現実 的かつ達成可能であるか。 |
3. Authentication and Authenticator Management | 3. 認証および認証子管理 |
Are the syncable authenticator requirements sufficiently defined to allow for reasonable risk-based acceptance of syncable authenticators for public and enterprise-facing uses? | 同期可能な認証子の要件は、一般向けおよび企業向けの用途で同期可能な認証子を合理的なリ スクに基づいて受け入れることができるように十分に定義されているか。 |
Are there additional recommended controls that should be applied? Are there specific implementation recommendations or considerations that should be captured? | 適用すべき追加推奨管理はあるか。具体的な実装上の推奨事項や考慮事項があるか。 |
Are wallet-based authentication mechanisms and "attribute bundles" sufficiently described as authenticators? Are there additional requirements that need to be added or clarified? | ウォレットベースの認証メカニズムおよび「属性バンドル」は、認証子として十分に説明されて いるか。追加または明確化すべき追加要件はあるか。 |
4. Federation and Assertions | 4. フェデレーションとアサーション |
Is the concept of user-controlled wallets and attribute bundles sufficiently and clearly described to support real-world implementations? Are there additional requirements or considerations that should be added to improve the security, usability, and privacy of these technologies? | ユーザが管理するウォレットと属性バンドルの概念は、実際の実装をサポートするために十分かつ明 確に記述されているか。これらの技術のセキュリティ、ユーザビリティ、プライバシーを改善するために追加すべき要件や考慮事項はあるか。 |
5. General | 5. 一般 |
What specific implementation guidance, reference architectures, metrics, or other supporting resources could enable more rapid adoption and implementation of this and future iterations of the Digital Identity Guidelines? | デジタル・アイデンティティ・ガイドラインおよび今後の反復をより迅速に採用し実装するために、具体的な実 装ガイダンス、参照アーキテクチャ、測定基準、またはその他の支援リソースは何か。 |
What applied research and measurement efforts would provide the greatest impacts on the identity market and advancement of these guidelines? | どのような応用研究と測定の取り組みが、アイデンティティ市場とこれらのガイドラインの進展に最も大きな 影響を与えるか。 |
Abstract | 概要 |
These guidelines cover identity proofing and authentication of users (such as employees, contractors, or private individuals) interacting with government information systems over networks. They define technical requirements in each of the areas of identity proofing, registration, authenticators, management processes, authentication protocols, federation, and related assertions. They also offer technical recommendations and other informative text intended as helpful suggestions. The guidelines are not intended to constrain the development or use of standards outside of this purpose. This publication supersedes NIST Special Publication (SP) 800-63-3. | このガイドラインは、ネットワークを介して政府情報システムとやり取りするユーザ(職員、請負 業者、または個人など)の アイデンティティ証明および認証を対象としている。ID プルーフィング、登録、認証子、管理プロセス、認証プロトコル、フェデレーション、 および関連アサーションの各分野における技術要件を定義する。また、有用な提案として意図 された技術的推奨およびその他の情報的文章も提供する。このガイドラインは、この目的以外の標準の開発または使用を制約することを意図 するものではない。本書は、NIST 特別刊行物(SP)800-63-3 に取って代わるものである。 |
・[PDF] NIST.SP.800-63-4.2pd
Table of Contents | 目次 |
1. Introduction | 1. はじめに |
1.1. Scope and Applicability | 1.1. 適用範囲と適用可能性 |
1.2. How to Use This Suite of SPs | 1.2. 本スイートの使用方法 |
1.3. Enterprise Risk Management Requirements and Considerations | 1.3. 企業リスクマネジメントの要求事項及び考慮事項 |
1.3.1. Security, Fraud, and Threat Prevention | 1.3.1. セキュリティ、詐欺、脅威の防止 |
1.3.2. Privacy | 1.3.2. プライバシー |
1.3.3. Equity | 1.3.3. 公平性 |
1.3.4. Usability | 1.3.4. ユーザビリティ |
1.4. Notations | 1.4. 表記 |
1.5. Document Structure | 1.5. 文書構造 |
2. Digital Identity Model | 2. デジタル・アイデンティティ モデル |
2.1. Overview | 2.1. 概要 |
2.2. Identity Proofing and Enrollment | 2.2. アイデンティティ証明と登録 |
2.2.1. Subscriber Accounts | 2.2.1. 加入者アカウント |
2.3. Authentication and Authenticator Management | 2.3. 認証および認証子管理 |
2.3.1. Authenticators | 2.3.1. オーセンティケータ |
2.3.2. Authentication Process | 2.3.2. 認証プロセス |
2.4. Federation and Assertions | 2.4. フェデレーションとアサーション |
2.5. Examples of Digital Identity Models | 2.5. デジタル・アイデンティティ・モデルの例 |
3. Digital Identity Risk Management | 3. デジタル・アイデンティティ リスク管理 |
3.1. Define the Online Service | 3.1. オンライン・サービスを定義する |
3.2. Conduct Initial Impact Assessment | 3.2. 初期影響評価の実施 |
3.2.1. Identify Impact Categories and Potential Harms | 3.2.1. 影響カテゴリーと潜在的な損害を特定する |
3.2.2. Identify Potential Impact Levels | 3.2.2. 潜在的影響レベルを特定する |
3.2.3. Impact Analysis | 3.2.3. 影響分析 |
3.2.4. Determine Combined Impact Level for Each User Group | 3.2.4. 各ユーザーグループの複合的な影響レベルを決定する |
3.3. Select Initial Assurance Levels and Baseline Controls | 3.3. 初期保証レベルとベースライン・コントロールの選択 |
3.3.1. Assurance Levels | 3.3.1. 保証レベル |
3.3.2. Assurance Level Descriptions | 3.3.2. 保証レベルの説明 |
3.3.3. Initial Assurance Level Selection | 3.3.3. 最初の保証レベルの選択 |
3.3.4. Identify Baseline Controls | 3.3.4. ベースライン統制の特定 |
3.4. Tailor and Document Assurance Levels | 3.4. 保証レベルの調整と文書化 |
3.4.1. Assess Privacy, Equity, Usability and Threat Resistance | 3.4.1. プライバシー、公平性、ユーザビリティ、脅威への耐性を評価する |
3.4.2. Identify Compensating Controls | 3.4.2. 代償となる統制を特定する |
3.4.3. Identify Supplemental Controls | 3.4.3. 補足的コントロールを特定する |
3.4.4. Digital Identity Acceptance Statement (DIAS) | 3.4.4. デジタル・アイデンティティ受入ステートメント(DIAS) |
3.5. Continuously Evaluate and Improve | 3.5. 継続的な評価と改善 |
3.5.1. Evaluation Inputs | 3.5.1. 評価インプット |
3.5.2. Performance Metrics | 3.5.2. パフォーマンス指標 |
3.5.3. Measurement in Support of Equity Assessments and Outcomes | 3.5.3. 公平性の評価と成果を支援するための測定 |
3.6. Redress | 3.6. 救済 |
3.7. Cybersecurity, Fraud, and Identity Program Integrity | 3.7. サイバーセキュリティ、不正行為、アイデンティティ・プログラムの完全性 |
3.8. Artificial Intelligence (AI) and Machine Learning (ML) in Identity Systems | 3.8. アイデンティティ・システムにおける人工知能(AI)と機械学習(ML) |
References | 参考文献 |
Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書 A. 記号、略語、頭字語一覧 |
Appendix B. Glossary | 附属書 B. 用語集 |
Appendix C. Change Log | 附属書 C. 変更履歴 |
C.1. SP 800-63-1 | C.1. SP 800-63-1 |
C.2. SP 800-63-2 | C.2. SP 800-63-2 |
C.3. SP 800-63-3 | C.3. SP 800-63-3 |
C.4. SP 800-63-4 | C.4. SP 800-63-4 |
List of Tables | 表 一覧 |
Table 1. IAL Summary | 表 1. IAL の概要 |
Table 2. AAL Summary | 表 2. AALの概要 |
Table 3. FAL Summary | 表 3. FALの概要 |
Table 4. Performance Metrics | 表 4. パフォーマンス指標 |
List of Figures | 図 一覧 |
Fig. 1. Sample Identity Proofing and Enrollment Digital Identity Model | 図 1. アイデンティティ証明と登録のデジタル・アイデンティティ・モデルの例 |
Fig. 2. Sample Authentication Process | 図 2. 認証プロセスの例 |
Fig. 3. Non-Federated Digital Identity Model Example | 図 3. 非連携デジタル・アイデンティティ モデルの例 |
Fig. 4. Federated Digital Identity Model Example | 図 4. 連携デジタル・アイデンティティ モデルの例 |
Fig. 5. Federated Digital Identity Model with Subscriber-Controlled Wallet Example | 図 5. サブスクライバが管理するウォレットを持つ統合デジタル・アイデンティティ モデルの例 |
Fig. 6. High-level diagram of the Digital Identity Risk Management Process Flow | 図 6. デジタル・アイデンティティ リスク管理プロセスフローのハイレベル図 |
800-63-4 2pdの附属書Cに過去からの変更履歴あります...
Appendix C. Change Log | 附属書C. 変更履歴 |
C.1. SP 800-63-1 | C.1. SP 800-63-1 |
NIST SP 800-63-1 updated NIST SP 800-63 to reflect current authenticator (then referred to as “token”) technologies and restructured it to provide a better understanding of the digital identity architectural model used here. Additional (minimum) technical requirements were specified for the CSP, protocols used to transport authentication information, and assertions if implemented within the digital identity model. | NIST SP 800-63-1 は、現在の認証子(当時は「トークン」と呼ばれた)技術を反映するために NIST SP 800-63 を更新し、ここで使用されるデジタル:アイデンティティ・アーキテクチャ・モデルの理解を深めるために再構築した。デジタル・アイデンティティ・モデルに実装される場合、CSP、認証情報の伝送に使用されるプロトコル、および主張 について、追加の(最低限の)技術要件が規定された。 |
C.2. SP 800-63-2 | C.2. SP 800-63-2 |
NIST SP 800-63-2 was a limited update of SP 800-63-1 and substantive changes were made only in Sec. 5, Registration and Issuance Processes. The substantive changes in the revised draft were intended to facilitate the use of professional credentials in the identity proofing process, and to reduce the need to send postal mail to an address of record to issue credentials for level 3 remote registration. Other changes to Sec. 5 were minor explanations and clarifications. | NIST SP 800-63-2 は、SP 800-63-1 の限定的な更新であり、実質的な変更は第 5 節「登録および発行プロセ ス」のみに加えられた。改訂ドラフトの実質的な変更は、身元証明プロセスにおける専門家クレデンシャルの使用を容 易にし、レベル 3 遠隔登録のクレデンシャルを発行するために記録された住所に郵便を送る必要 性を減らすことを意図していた。セクション5のその他の変更は、軽微な説明および明確化であった。 |
C.3. SP 800-63-3 | C.3. SP 800-63-3 |
NIST SP 800-63-3 is a substantial update and restructuring of SP 800-63-2. SP 800-63- 3 introduces individual components of digital authentication assurance — AAL, IAL, and FAL — to support the growing need for independent treatment of authentication strength and confidence in an individual’s claimed identity (e.g., in strong pseudonymous authentication). A risk assessment methodology and its application to IAL, AAL, and FAL has been included in this guideline. It also moves the whole of digital identity guidance covered under SP 800-63 from a single document describing authentication to a suite of four documents (to separately address the individual components mentioned above) of which SP 800-63-3 is the top-level document. | NIST SP 800-63-3 は、SP 800-63-2 の大幅な更新および再構築である。SP 800-63-3 は、デジタル認証保証の個々の構成要素(AAL、IAL、および FAL)を導入し、認証強度の独立した扱いと個人の主張するアイデンティティに対する信頼(強力な仮名認証など)の必要性の高まりをサポートする。リスクアセスメント方法論および IAL、AAL、および FAL へのその適用が、このガイドラ インに含まれている。また、SP 800-63 でカバーされるデジタル・アイデンティティ・ガイダンスの全体が、認証を説明する 1 つの文書から、SP 800-63-3 を最上位文書とする 4 つの文書群(上記の個々の構成要素に個別に対応)に移行している。 |
Other areas updated in 800-63-3 include: | 800-63-3 で更新された他の分野は以下のとおりである: |
• Renamed to Digital Identity Guidelines to properly represent the scope includes identity proofing and federation, and to support expanding the scope to include device identity, or machine-to-machine authentication in future revisions. | ・身元確認およびフェデレーションを含む範囲を適切に代表し、今後の改訂でデバイス・アイデンティティやマシン間認証を含む範囲への拡張をサポートするため、「デジタル・アイデンティティ・ガイドライン」に改名した。 |
• Changed terminology, including the use of authenticator in place of token to avoid conflicting use of the word token in assertion technologies. | ・アサーション技術におけるトークンという単語の矛盾した使用を避けるため、トークンの代わりに認証子を使用するなど、用語を変更した。 |
• Updated authentication and assertion requirements to reflect advances in both security technology and threats. | ・セキュリティ技術と脅威の両方の進歩を反映するために、認証およびアサーションの要件を更新した。 |
• Added requirements on the storage of long-term secrets by verifiers. | ・検証者による長期秘密の保管に関する要件を追加した。 |
• Restructured identity proofing model. | ・身元証明モデルを再構築した。 |
• Updated requirements regarding remote identity proofing. | ・遠隔身元証明に関する要件を更新した。 |
• Clarified the use of independent channels and devices as “something you have”. | ・独立したチャネルおよびデバイスを「持っているもの」として使用することを明確にした。 |
• Removed pre-registered knowledge tokens (authenticators), with the recognition that they are special cases of (often very weak) passwords. | ・事前登録された知識トークン(認証)は、(多くの場合非常に脆弱な)パスワードの特殊な ケースであるとの認識のもと、削除した。 |
• Added requirements regarding account recovery in the event of loss or theft of an authenticator. | ・認証情報の紛失・盗難時のアカウント復旧に関する要件を追加した。 |
• Removed email as a valid channel for out-of-band authenticators. | ・帯域外認証子の有効なチャネルとして電子メールを削除した。 |
• Expanded discussion of reauthentication and session management. | ・再認証およびセッション管理に関する記述を拡張した。 |
• Expanded discussion of identity federation; restructuring of assertions in the context of federation. | ・アイデンティティ・フェデレーションに関する論点を拡張し、フェデレーションに関連するアサーションを再構築した。 |
C.4. SP 800-63-4 | C.4. SP 800-63-4 |
NIST SP 800-63-4 has substantial updates and re-organization from SP 800-63-3. Updates to 800-63-4 include: | NIST SP 800-63-4 には、SP 800-63-3 からの大幅な更新と再構成がある。800-63-4 の更新には以下が含まれる: |
• Expanded security and privacy considerations and added equity and usability considerations. | ・セキュリティおよびプライバシーに関する考慮事項を拡張し、公平性およびユーザビリティ に関する考慮事項を追加した。 |
• Updated digital identity models and added a user-controlled wallet federation model that addresses the increased attention and adoption of digital wallets and attribute bundles. | ・デジタル・アイデンティティ・モデルを更新し、デジタル・ウォレットおよび属性バンドルの注目の高まりと採用に対応 する、ユーザ制御ウォレット・フェデレーション・モデルを追加した。 |
• Expanded digital identity risk management process to include definition of the protected online services, user groups, and impacted entities. | ・デジタル・アイデンティティ・リスクマネジメント・プロセスを拡張し、保護されるオンライン・サービス、ユ ーザ・グループ、および影響を受ける事業体の定義を含める。 |
• A more descriptive introduction to establish the context of the DIRM process, the two dimensions of risk it addresses, and the intended outcomes. This context setting step includes defining and understanding the online service that the 2organization is offering and intending to protect with identity systems. | ・ DIRM プロセスのコンテキスト、DIRM が対処するリスクの 2 つの側面、および意図する結果を 確立するためのより説明的な序文である。このコンテキスト設定のステップには、2 組織が提供し、アイデンティティ・システムで保護することを意図しているオンライン・サービスを定義し、理解することが含まれる。 |
• Expanded digital identity risk management process to include definition of the protected online services, user groups, and impacted entities. | ・デジタル・アイデンティティ・リスクマネジメント・プロセスを拡張し、保護対象のオンライン・サービス、ユー ザ・グループ、および影響を受ける事業体の定義を含めるようにした。 |
• Updated digital identity risk management process for additional assessments for tailoring initial baseline control selections. | ・デジタル・アイデンティティ・リスクマネジメント・プロセスを更新し、初期ベースラインコントロールの選 択を調整するための追加アセスメントを追加した。 |
• Added performance metrics for the continuous evaluation of digital identity systems. | ・デジタル・アイデンティティ・システムの継続的評価のためのパフォーマンス測定基準を追加した。 |
• Added a new subsection on redress processes and requirements. | ・救済プロセスと要件に関する新しいサブセクションを追加した。 |
• Added a new Artificial Intelligence subsection to address the use of Artificial Intelligence in digital identity services. | ・デジタル・アイデンティティ・サービスにおける人工知能の使用に対処するために、新しい人工知能のサブセ クションを追加した。 |
・2024.08.21 NIST SP 800-63A-4 (2nd Public Draft) Digital Identity Guidelines: Identity Proofing and Enrollment
NIST SP 800-63A-4 (2nd Public Draft) Digital Identity Guidelines: Identity Proofing and Enrollment | NIST SP 800-63A-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: アイデンティティ証明および登録 |
Abstract | 概要 |
This guideline focuses on the enrollment and verification of an identity for use in digital authentication. Central to this is a process known as identity proofing in which an applicant provides evidence to a credential service provider (CSP) reliably identifying themselves, thereby allowing the CSP to assert that identification at a useful identity assurance level. This document defines technical requirements for each of three identity assurance levels. The guidelines are not intended to constrain the development or use of standards outside of this purpose. This publication supersedes NIST Special Publication (SP) 800-63A. | このガイドラインは、デジタル認証で使用するアイデンティティ登録および検証に焦点を当てている。この中心は、申請者が自分自身を確実に識別する証拠をクレデンシャル・サービス・プロバイダ (CSP)に提供することで、CSP が有用な アイデンティティ保証レベルでその識別をアサートできるようにする、 アイデンティティ証明として知られるプロセスである。本文書は、3 つの アイデンティティ保証レベルごとに技術要件を定義する。このガイドラインは、この目的以外の標準の開発または使用を制約することを意図 するものではない。本書は、NIST 特別刊行物(SP)800-63A に取って代わるものである。 |
・[PDF] NIST.SP.800-63A-4.2pd
Table of Contents | 目次 |
1. Introduction | 1. はじめに |
1.1. Expected Outcomes of Identity Proofing | 1.1. アイデンティティ証明に期待される成果 |
1.2. Identity Assurance Levels | 1.2. 身元保証レベル |
1.3. Notations | 1.3. 表記 |
1.4. Document Structure | 1.4. 文書構造 |
2. Identity Proofing Overview | 2. 身元証明の概要 |
2.1. Identity Proofing and Enrollment | 2.1. 身元証明と登録 |
2.1.1. Process Flow | 2.1.1. プロセスの流れ |
2.1.2. Identity Proofing Roles | 2.1.2. アイデンティティ証明の役割 |
2.1.3. Identity Proofing Types | 2.1.3. アイデンティティ証明の種類 |
2.2. Core Attributes | 2.2. コア属性 |
2.3. Identity Resolution | 2.3.アイデンティティ解決 |
2.4. Identity Validation and Identity Evidence Collection | 2.4.アイデンティティ検証およびアイデンティティ証拠収集 |
2.4.1. Evidence Strength Requirements | 2.4.1. 証拠強度の要件 |
2.4.2. Identity Evidence and Attribute Validation | 2.4.2. アイデンティティ証拠と属性の検証 |
2.5. Identity Verification | 2.5.アイデンティティ検証 |
2.5.1. Identity Verification Methods | 2.5.1. 本人確認方法 |
3. Identity Proofing Requirements | 3. 本人確認要件 |
3.1. General Requirements | 3.1. 一般要件 |
3.1.1. Identity Service Documentation and Records | 3.1.1. アイデンティティ・サービスの文書化および記録 |
3.1.2. Fraud Management | 3.1.2. 不正管理 |
3.1.3. General Privacy Requirements | 3.1.3. 一般的プライバシー要件 |
3.1.4. General Equity Requirements | 3.1.4. 一般的な公平性の要件 |
3.1.5. General Security Requirements | 3.1.5. 一般的なセキュリティ要件 |
3.1.6. Redress Requirements | 3.1.6. 救済要件 |
3.1.7. Additional Requirements for Federal Agencies | 3.1.7. 連邦政府機関に対する追加要件 |
3.1.8. Requirements for Confirmation Codes | 3.1.8. 確認コードの要件 |
3.1.9. Requirements for Continuation Codes | 3.1.9. 継続コードに関する要件 |
3.1.10. Requirements for Notifications of Identity Proofing | 3.1.10. 身元証明の通知に関する要件 |
3.1.11. Requirements for the Use of Biometrics | 3.1.11. バイオメトリクスの使用に関する要件 |
3.1.12. Requirements for Evidence Validation Processes (Authenticity Checks) | 3.1.12. 証拠検証プロセス(真正性チェック)に関する要件 |
3.1.13. Exception and Error Handling | 3.1.13. 例外及びエラー処理 |
3.2. Elevating Subscriber IALs | 3.2. 利用者 IAL の昇格 |
4. Identity Assurance Level Requirements | 4. アイデンティティ保証レベル要件 |
4.1. Identity Assurance Level 1 Requirements | 4.1. アイデンティティ保証レベル 1 要件 |
4.1.1. Proofing Types | 4.1.1. 証明タイプ |
4.1.2. Evidence Collection | 4.1.2. 証拠収集 |
4.1.3. Attribute Collection | 4.1.3. 属性収集 |
4.1.4. Evidence Validation | 4.1.4. 証拠の検証 |
4.1.5. Attribute Validation | 4.1.5. 属性の検証 |
4.1.6. Verification Requirements | 4.1.6. 検証要件 |
4.1.7. Remote Attended Requirements | 4.1.7. 遠隔出席の要件 |
4.1.8. Onsite Attended Requirements | 4.1.8. 現地出席の要件 |
4.1.9. Onsite Unattended Requirements (Devices & Kiosks) | 4.1.9. オンサイト無人要件(デバイスおよびキオスク端末) |
4.1.10. Initial Authenticator Binding | 4.1.10. 初期認証子バインディング |
4.1.11. Notification of Proofing | 4.1.11. プルーフィングの通知 |
4.2. Identity Assurance Level 2 Requirements | 4.2. アイデンティティ保証レベル 2 要件 |
4.2.1. Proofing Types | 4.2.1. 証明の種類 |
4.2.2. Evidence Collection | 4.2.2. 証拠収集 |
4.2.3. Attribute Collection | 4.2.3. 属性収集 |
4.2.4. Evidence Validation | 4.2.4. 証拠の検証 |
4.2.5. Attribute Validation | 4.2.5. 属性の検証 |
4.2.6. Verification Requirements | 4.2.6. 検証要件 |
4.2.7. Remote Attended Requirements | 4.2.7. 遠隔出席の要件 |
4.2.8. Onsite Attended Requirements | 4.2.8. 現地出席の要件 |
4.2.9. Onsite Unattended Requirements (Devices & Kiosks) | 4.2.9. オンサイト無人要件(デバイスおよびキオスク端末) |
4.2.10. Notification of Proofing | 4.2.10. プルーフィングの通知 |
4.2.11. Initial Authenticator Binding | 4.2.11. 初期認証子バインディング |
4.3. Identity Assurance Level 3 | 4.3. アイデンティティ保証レベル 3 |
4.3.1. Proofing Types | 4.3.1. 証明タイプ |
4.3.2. Evidence Collection | 4.3.2. 証拠収集 |
4.3.3. Attribute Requirements | 4.3.3. 属性要件 |
4.3.4. Evidence Validation | 4.3.4. 証拠の検証 |
4.3.5. Attribute Validation | 4.3.5. 属性の検証 |
4.3.6. Verification Requirements | 4.3.6. 検証要件 |
4.3.7. Onsite Attended Requirements (Locally Attended) | 4.3.7. 現地出席要件(ローカルアテンダント) |
4.3.8. Onsite Attended Requirements (Remotely Attended - Formerly Supervised Remote Identity Proofing) | 4.3.8. 現地立会要件(遠隔立会-旧監督付き遠隔身元証明) |
4.3.9. Notification of Proofing | 4.3.9. 証明の通知 |
4.3.10. Initial Authenticator Binding | 4.3.10. 最初の認証子バインディング |
4.4. Summary of Requirements | 4.4. 要件のまとめ |
5. Subscriber Accounts | 5. サブスクライバ・アカウント |
5.1. Subscriber Accounts | 5.1. 加入者アカウント |
5.2. Subscriber Account Access | 5.2. 加入者アカウントへのアクセス |
5.3. Subscriber Account Maintenance and Updates | 5.3. 加入者アカウントのメンテナンスおよび更新 |
5.4. Subscriber Account Suspension or Termination | 5.4. 加入者アカウントの一時停止または終了 |
6. Threats and Security Considerations | 6. 脅威およびセキュリティに関する考慮事項 |
6.1. Threat Mitigation Strategies | 6.1. 脅威緩和戦略 |
6.2. Collaboration with Adjacent Programs | 6.2. 隣接プログラムとの協力 |
7. Privacy Considerations | 7. プライバシーへの配慮 |
7.1. Collection and Data Minimization | 7.1. 収集とデータの最小化 |
7.1.1. Social Security Numbers | 7.1.1. 社会保障番号 |
7.2. Notice and Consent | 7.2. 通知と同意 |
7.3. Use Limitation | 7.3. 利用制限 |
7.4. Redress | 7.4. 救済 |
7.5. Privacy Risk Assessment | 7.5. プライバシーリスク評価 |
7.6. Agency-Specific Privacy Compliance | 7.6. 省庁固有のプライバシー・コンプライアンス |
8. Usability Considerations | 8. ユーザビリティに関する考慮事項 |
8.1. General User Considerations During Identity Proofing and Enrollment | 8.1. アイデンティティ証明および登録時の一般的なユーザへの配慮 |
8.2. Pre-Enrollment Preparation | 8.2. 登録前の準備 |
8.3. Identity Proofing and Enrollment | 8.3. 身元証明および登録 |
8.4. Post-Enrollment | 8.4. 登録後の準備 |
9. Equity Considerations | 9. 公平性への配慮 |
9.1. Identity Resolution and Equity | 9.1. アイデンティティーの解決と公平性 |
9.2. Identity Validation and Equity | 9.2. アイデンティティの検証と公平性 |
9.3. Identity Verification and Equity | 9.3. 本人確認と公平性 |
9.4. User Experience and Equity | 9.4. ユーザー・エクスペリエンスと公平性 |
References | 参考文献 |
Appendix A. Identity Evidence Examples by Strength | 附属書 A. 強度別のアイデンティティ証拠の例 |
A.1. Fair Evidence Examples | A.1. 公正な証拠例 |
A.2. Strong Evidence Examples | A.2. 強い証拠の例 |
A.3. Superior Evidence Examples | A.3. 優れた証拠の例 |
Appendix B. List of Symbols, Abbreviations, and Acronyms | 附属書 B. 記号、略語、頭字語一覧 |
Appendix C. Glossary | 附属書 C.用語集 |
Appendix D. Change Log | 附属書 D. 変更履歴 |
List of Tables | 表 一覧 |
Table 1. IAL Requirements Summary | 表 1. IAL要求事項の概要 |
Table 2. Identity Proofing and Enrollment Threats | 表 2. 身分証明と入会の脅威 |
Table 3. Identity Proofing and Enrollment Threat Mitigation Strategies | 表 3. アイデンティティ証明と登録の脅威軽減戦略 |
Table 4. Fair Evidence Examples | 表 4. 公正な証拠の例 |
Table 5. Strong Evidence Examples | 表 5. 強力な証拠の例 |
Table 6. Superior Evidence Examples | 表 6. 優れた証拠の例 |
List of Figures | 図 一覧 |
Fig. 1. Identity Proofing Process | 図 1. 身元証明のプロセス |
NIST SP 800-63B-4 (2nd Public Draft) Digital Identity Guidelines: Authentication and Authenticator Management | NIST SP 800-63B-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: 認証および認証子管理 |
Abstract | 概要 |
This guideline focuses on the authentication of subjects who interact with government information systems over networks to establish that a given claimant is a subscriber who has been previously authenticated. The result of the authentication process may be used locally by the system performing the authentication or may be asserted elsewhere in a federated identity system. This document defines technical requirements for each of the three authenticator assurance levels. The guidelines are not intended to constrain the development or use of standards outside of this purpose. This publication supersedes NIST Special Publication (SP) 800-63B. | 本ガイドラインは、ネットワークを介して政府の情報システムと相互作用する対象者の認証に焦点を当て、特定の請求者が以前に認証された加入者であることを立証する。認証プロセスの結果は、認証を実行するシステムによってローカルに使用されるか、または連携アイデンティティ・システムの他の場所でアサートされる。本文書は、3 つの認証子保証レベルごとに技術要件を定義する。このガイドラインは、この目的以外の標準の開発または使用を制約することを意図 するものではない。本書は、NIST 特別刊行物(SP)800-63B に取って代わるものである。 |
・[PDF] NIST.SP.800-63B-4.2pd
Table of Contents | 目次 |
1. Introduction | 1. はじめに |
1.1. Notations | 1.1. 表記 |
1.2. Document Structure | 1.2. 文書の構造 |
2. Authentication Assurance Levels | 2. 認証保証レベル |
2.1. Authentication Assurance Level 1 | 2.1. 認証保証レベル 1 |
2.1.1. Permitted Authenticator Types | 2.1.1. 許可される認証子タイプ |
2.1.2. Authenticator and Verifier Requirements | 2.1.2. 認証子および検証者の要件 |
2.1.3. Reauthentication | 2.1.3. 再認証 |
2.2. Authentication Assurance Level 2 | 2.2. 認証保証レベル 2 |
2.2.1. Permitted Authenticator Types | 2.2.1. 許可される認証子タイプ |
2.2.2. Authenticator and Verifier Requirements | 2.2.2. 認証子および検証者の要件 |
2.2.3. Reauthentication | 2.2.3. 再認証 |
2.3. Authentication Assurance Level 3 | 2.3. 認証保証レベル 3 |
2.3.1. Permitted Authenticator Types | 2.3.1. 許可される認証タイプ |
2.3.2. Authenticator and Verifier Requirements | 2.3.2. 認証子および検証者の要件 |
2.3.3. Reauthentication | 2.3.3. 再認証 |
2.4. General Requirements | 2.4. 一般要件 |
2.4.1. Security Controls | 2.4.1. セキュリティ制御 |
2.4.2. Records Retention Policy | 2.4.2. 記録保持方針 |
2.4.3. Privacy Requirements | 2.4.3. プライバシー要件 |
2.4.4. Redress Requirements | 2.4.4. 救済要件 |
2.5. Summary of Requirements | 2.5. 要件のまとめ |
3. Authenticator and Verifier Requirements | 3. 認証子および検証者の要件 |
3.1. Requirements by Authenticator Type | 3.1. 認証子供タイプ別要件 |
3.1.1. Passwords | 3.1.1.パスワード |
3.1.2. Look-Up Secrets | 3.1.2. ルックアップ・シークレット |
3.1.3. Out-of-Band Devices | 3.1.3. 帯域外デバイス |
3.1.4. Single-Factor OTP | 3.1.4. 単一ファクタOTP |
3.1.5. Multi-Factor OTPs | 3.1.5. 多要素OTP |
3.1.6. Single-Factor Cryptographic Authentication | 3.1.6. シングルファクター暗号化認証 |
3.1.7. Multi-Factor Cryptographic Authentication | 3.1.7. 多要素暗号化認証 |
3.2. General Authenticator Requirements | 3.2. 一般的な認証機能要件 |
3.2.1. Physical Authenticators | 3.2.1. 物理的認証子 |
3.2.2. Rate Limiting (Throttling) | 3.2.2. レート制限(スロットリング) |
3.2.3. Use of Biometrics | 3.2.3. バイオメトリクスの使用 |
3.2.4. Attestation | 3.2.4. 認証 |
3.2.5. Phishing (Verifier Impersonation) Resistance | 3.2.5. フィッシング(検証者なりすまし)への耐性 |
3.2.6. Verifier-CSP Communications | 3.2.6. 検証者と CSP の通信 |
3.2.7. Replay Resistance | 3.2.7. リプレイ耐性 |
3.2.8. Authentication Intent | 3.2.8. 認証の意図 |
3.2.9. Restricted Authenticators | 3.2.9. 制限された認証子 |
3.2.10. Activation Secrets | 3.2.10. アクティベーション・シークレット |
3.2.11. Connected Authenticators | 3.2.11. 接続された認証子 |
3.2.12. Random Values | 3.2.12. ランダム値 |
3.2.13. Exportability | 3.2.13. エクスポート可能性 |
4. Authenticator Event Management | 4. 認証子イベント管理 |
4.1. Authenticator Binding | 4.1. 認証子バインディング |
4.1.1. Binding at Enrollment | 4.1.1. 登録時のバインディング |
4.1.2. Post-Enrollment Binding | 4.1.2. 登録後のバインディング |
4.1.3. Binding to a Subscriber-Provided Authenticator | 4.1.3. サブスクライバが提供する認証機能へのバインディング |
4.1.4. Renewal | 4.1.4. 更新 |
4.2. Account Recovery | 4.2. アカウント復旧 |
4.2.1. Account Recovery Methods | 4.2.1. アカウント復旧方法 |
4.2.2. Recovery Requirements by IAL/AAL | 4.2.2. IAL/AALによる復旧要件 |
4.2.3. Account Recovery Notification | 4.2.3. アカウント復旧の通知 |
4.3. Loss, Theft, Damage, and Compromise | 4.3. 紛失、盗難、破損、および危殆化 |
4.4. Expiration | 4.4. 有効期限切れ |
4.5. Invalidation | 4.5. 無効化 |
4.6. Account Notifications | 4.6. アカウント通知 |
5. Session Management | 5. セッション管理 |
5.1. Session Bindings | 5.1. セッション・バインディング |
5.1.1. Browser Cookies | 5.1.1. ブラウザクッキー |
5.1.2. Access Tokens | 5.1.2. アクセストークン |
5.2. Reauthentication | 5.2. 再認証 |
5.3. Session Monitoring | 5.3. セッション・モニタリング |
6. Threats and Security Considerations | 6. 脅威とセキュリティに関する考慮事項 |
6.1. Authenticator Threats | 6.1. 認証子の脅威 |
6.2. Threat Mitigation Strategies | 6.2. 脅威緩和戦略 |
6.3. Authenticator Recovery | 6.3. 認証子の復旧 |
6.4. Session Attacks | 6.4. セッション攻撃 |
7. Privacy Considerations | 7. プライバシーに関する考察 |
7.1. Privacy Risk Assessment | 7.1. プライバシー・リスクの評価 |
7.2. Privacy Controls | 7.2. プライバシー管理 |
7.3. Use Limitation | 7.3. 利用制限 |
7.4. Agency-Specific Privacy Compliance | 7.4. 省庁固有のプライバシー・コンプライアンス |
8. Usability Considerations | 8. ユーザビリティに関する考慮事項 |
8.1. Common Usability Considerations for Authenticators | 8.1. 認証子に関する一般的なユーザビリティの考慮事項 |
8.2. Usability Considerations by Authenticator Type | 8.2. 認証子タイプ別のユーザビリティに関する考慮事項 |
8.2.1. Passwords | 8.2.1. パスワード |
8.2.2. Look-Up Secrets | 8.2.2. ルックアップ・シークレット |
8.2.3. Out-of-Band | 8.2.3. 帯域外 |
8.2.4. Single-Factor OTP | 8.2.4. 単一ファクタ OTP |
8.2.5. Multi-Factor OTP | 8.2.5. 多要素OTP |
8.2.6. Single-Factor Cryptographic Authenticator | 8.2.6. シングルファクタ暗号化認証 |
8.2.7. Multi-Factor Cryptographic Authenticator | 8.2.7. 多要素暗号化認証機能 |
8.3. Summary of Usability Considerations | 8.3. ユーザビリティに関する考慮事項のまとめ |
8.4. Usability Considerations for Biometrics | 8.4. バイオメトリクスに関するユーザビリティの考慮事項 |
9. Equity Considerations | 9. 公平性に関する考察 |
References | 参考文献 |
Appendix A. Strength of Passwords | 附属書 A. パスワードの強度 |
A.1. Introduction | A.1. はじめに |
A.2. Length | A.2. 長さ |
A.3. Complexity | A.3. 複雑さ |
A.4. Central vs. Local Verification | A.4. 中央検証とローカル検証 |
A.5. Summary | A.5. まとめ |
Appendix B. Syncable Authenticators | 附属書 B. 同期可能な認証子 |
B.1. Introduction | B.1. はじめに |
B.2. Cloning of Authentication Keys | B.2. 認証キーのクローニング |
B.3. Implementation Requirements | B.3. 実装要件 |
B.4. Sharing | B.4. 共有 |
B.5. Example | B.5. 例 |
B.6. Security Considerations | B.6. セキュリティに関する考察 |
Appendix C. List of Symbols, Abbreviations, and Acronyms | 附属書 C. 記号、略語、頭字語一覧 |
Appendix D. Glossary | 附属書 D.用語集 |
Appendix E. Change Log | 附属書 E. 変更履歴 |
List of Tables | 表 一覧 |
Table 1. Summary of Secrets (non-normative) | 表 1. 秘密事項の要約(非基準) |
Table 2. Authenticator Threats | 表 2. 認証子の脅威 |
Table 3. Mitigating Authenticator Threats | 表 3. 認証子の脅威を軽減する |
Table 4. Syncable Authenticator Threats, Challenges, and Mitigations | 表 4. 同期可能な認証子の脅威、課題、および緩和策 |
List of Figures | 図 一覧 |
Fig. 1. Summary of requirements by AAL | 図 1. AAL による要件の概要 |
Fig. 2. Transfer of Secret to Primary Device | 図 2. プライマリ・デバイスへの秘密の転送 |
Fig. 3. Transfer of Secret to Out-of-band Device | 図 3. 帯域外デバイスへの秘密転送 |
Fig. 4. Usability considerations by authenticator type | 図 4. 認証タイプ別のユーザビリティ |
・2024.08.21 NIST SP 800-63C-4 (2nd Public Draft) Digital Identity Guidelines: Federation and Assertions
NIST SP 800-63C-4 (2nd Public Draft) Digital Identity Guidelines: Federation and Assertions | NIST SP 800-63C-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: フェデレーションおよびアサーション |
Abstract | 概要 |
This guideline focuses on the use of federated identity and the use of assertions to implement identity federations. Federation allows a given credential service provider to provide authentication attributes and (optionally) subscriber attributes to a number of separately-administered relying parties. Similarly, relying parties may use more than one credential service provider. The guidelines are not intended to constrain the development or use of standards outside of this purpose. This publication supersedes NIST Special Publication (SP) 800-63C. | このガイドラインは、フェデレーションされた ID の使用と、ID フェデレーションを実装するための アサーションの使用に焦点を当てている。フェデレーションにより、所定のクレデンシャル・サービス・プロバイダは、認証属性と(オプ ションで)サブスクライバ属性を、個別に管理される多数の依拠当事者に提供できる。同様に、依拠当事者は複数のクレデンシャル・サービス・プロバイダを使用できる。このガイドラインは、この目的以外の標準の開発または使用を制限することを意図 していない。本書は、NIST 特別刊行物(SP)800-63C に取って代わるものである。 |
・[PDF] NIST.SP.800-63C-4.2pd
Table of Contents | 目次 |
1. Introduction | 1. はじめに |
1.1. Notations | 1.1. 表記 |
1.2. Document Structure | 1.2. 文書の構造 |
2. Federation Assurance Level (FAL) | 2. フェデレーション保証レベル(FAL) |
2.1. Common FAL Requirements | 2.1. 共通FAL要件 |
2.2. Federation Assurance Level 1 (FAL1) | 2.2. フェデレーション保証レベル 1(FAL1) |
2.3. Federation Assurance Level 2 (FAL2) | 2.3. フェデレーション保証レベル2(FAL2) |
2.4. Federation Assurance Level 3 (FAL3) | 2.4. フェデレーション保証レベル 3(FAL3) |
2.5. Requesting and Processing xALs | 2.5. xALの要求と処理 |
3. Common Federation Requirements | 3. 共通のフェデレーション要件 |
3.1. Roles | 3.1. 役割 |
3.1.1. Credential Service Provider (CSP) | 3.1.1. クレデンシャル・サービス・プロバイダ(CSP) |
3.1.2. Identity Provider (IdP) | 3.1.2. アイデンティティ・プロバイダ(IdP) |
3.1.3. Relying Party (RP) | 3.1.3. 依拠当事者(RP) |
3.2. Functions | 3.2. 機能 |
3.2.1. Trust Agreement Management | 3.2.1. トラスト・エージェント管理 |
3.2.2. Authorized Party | 3.2.2. 認定当事者 |
3.2.3. Proxied Federation | 3.2.3. 代理フェデレーション |
3.2.4. Fulfilling Roles and Functions of a Federation Model | 3.2.4. フェデレーションモデルの役割と機能 |
3.3. Federated Identifiers | 3.3. フェデレーション識別子 |
3.3.1. Pairwise Pseudonymous Identifiers (PPI) | 3.3.1. ペアワイズ仮名識別子(PPI) |
3.4. Trust Agreements | 3.4. 信頼協定 |
3.4.1. Bilateral Trust Agreements | 3.4.1. 二者間信頼協定 |
3.4.2. Multilateral Trust Agreements | 3.4.2. 複数者間信頼協定 |
3.4.3. Redress Requirements | 3.4.3. 救済要件 |
3.5. Identifiers and Cryptographic Key Management for CSPs, IdPs, and RPs | 3.5. CSP、IdP、および RP の識別子および暗号鍵管理 |
3.5.1. Cryptographic Key Rotation | 3.5.1. 暗号鍵のローテーション |
3.5.2. Cryptographic Key Storage | 3.5.2. 暗号鍵の保管 |
3.5.3. Software Attestations | 3.5.3. ソフトウェア認証 |
3.6. Authentication and Attribute Disclosure | 3.6. 認証と属性開示 |
3.7. RP Subscriber Accounts | 3.7. RP加入者アカウント |
3.7.1. Account Linking | 3.7.1. アカウントのリンク |
3.7.2. Account Resolution | 3.7.2. アカウントの解決 |
3.7.3. Alternative Authentication Processes | 3.7.3. 代替認証プロセス |
3.8. Authenticated Sessions at the RP | 3.8. RPでの認証セッション |
3.9. Privacy Requirements | 3.9. プライバシー要件 |
3.9.1. Transmitting Subscriber Information | 3.9.1. 加入者情報の送信 |
3.10. Security Controls | 3.10. セキュリティ管理 |
3.10.1. Protection from Injection Attacks | 3.10.1. インジェクション攻撃からの保護 |
3.10.2. Protecting Subscriber Information | 3.10.2. 加入者情報の保護 |
3.10.3. Storing Subscriber Information | 3.10.3. 加入者情報の保存 |
3.11. Identity Attributes | 3.11. アイデンティティ属性 |
3.11.1. Attribute Bundles | 3.11.1. 属性バンドル |
3.11.2. Derived Attribute Values | 3.11.2. 派生属性値 |
3.11.3. Identity APIs | 3.11.3. アイデンティティAPI |
3.12. Assertion Protection | 3.12. アサーションの保護 |
3.12.1. Assertion Identifier | 3.12.1. アサーション識別子 |
3.12.2. Signed Assertion | 3.12.2. 署名されたアサーション |
3.12.3. Encrypted Assertion | 3.12.3. 暗号化されたアサーション |
3.12.4. Audience Restriction | 3.12.4. 視聴者制限 |
3.13. Bearer Assertions | 3.13. ベアラアサーション |
3.14. Holder-of-Key Assertions | 3.14. HKアサーション |
3.15. Bound Authenticators | 3.15. バウンド認証子 |
3.15.1. RP-Provided Bound Authenticator Issuance | 3.15.1. RPが提供するバウンド認証子の発行 |
3.15.2. Subscriber-Provided Bound Authenticator Binding Ceremony | 3.15.2. サブスクライバが提供するバウンド認証子のバインディング・セレモニー |
3.16. RP Requirements for Processing Holder-of-Key Assertions and Bound Authenticators | 3.16. 鍵所有者アサーションおよびバウンド認証子の処理に関する RP 要件 |
4. General-Purpose IdPs | 4. 汎用 IdP |
4.1. IdP Account Provisioning | 4.1. IdP アカウント・プロビジョニング |
4.2. Federation Transaction | 4.2. フェデレーション・トランザクション |
4.3. Trust Agreements | 4.3. 信任契約 |
4.3.1. Apriori Trust Agreement Establishment | 4.3.1. アプリオリ信任契約の成立 |
4.3.2. Subscriber-driven Trust Agreement Establishment | 4.3.2. 加入者主導型信任契約の確立 |
4.4. Discovery and Registration | 4.4. 発見と登録 |
4.4.1. Manual Registration | 4.4.1. 手動登録 |
4.4.2. Dynamic Registration | 4.4.2. 動的登録 |
4.5. Subscriber Authentication at the IdP | 4.5. IdP における加入者認証 |
4.6. Authentication and Attribute Disclosure | 4.6. 認証と属性開示 |
4.6.1. IdP-Controlled Decisions | 4.6.1. IdP が制御する決定 |
4.6.2. RP-Controlled Decisions | 4.6.2. RPが制御する決定 |
4.6.3. Provisioning Models for RP subscriber accounts | 4.6.3. RP 加入者アカウントのプロビジョニングモデル |
4.6.4. Attribute Synchronization | 4.6.4. 属性の同期 |
4.6.5. Provisioning APIs | 4.6.5. プロビジョニング API |
4.6.6. Collection of Additional Attributes by the RP | 4.6.6. RPによる追加属性の収集 |
4.6.7. Time-based Removal of RP Subscriber Accounts | 4.6.7. RP 加入者アカウントの時間ベースの削除 |
4.7. Reauthentication and Session Requirements in Federated Environments | 4.7. 連携環境における再認証およびセッション要件 |
4.8. Shared Signaling | 4.8. 共有シグナリング |
4.9. Assertion Contents | 4.9. アサーション・コンテンツ |
4.10. Assertion Requests | 4.10. アサーション・リクエスト |
4.11. Assertion Presentation | 4.11. アサーション・プレゼンテーション |
4.11.1. Back-Channel Presentation | 4.11.1. バックチャネル・プレゼンテーション |
4.11.2. Front-Channel Presentation | 4.11.2. フロントチャンネル・プレゼンテーション |
5. Subscriber-Controlled Wallets | 5. 加入者管理ウォレット |
5.1. Wallet Activation | 5.1. ウォレットの有効化 |
5.2. Federation Transaction | 5.2. フェデレーション・トランザクション |
5.3. Trust Agreements | 5.3. トラスト・アグリーメント |
5.4. Provisioning the Subscriber-Controlled Wallet | 5.4. 加入者管理ウォレットのプロビジョニング |
5.4.1. Deprovisioning the Subscriber-Controlled Wallet | 5.4.1. サブスクライバが管理するウォレットのデプロビジョニング |
5.5. Discovery and Registration | 5.5. ディスカバリーと登録 |
5.6. Authentication and Attribute Disclosure | 5.6. 認証と属性開示 |
5.7. Assertion Requests | 5.7. アサーション・リクエスト |
5.8. Assertion Contents | 5.8. アサーション・コンテンツ |
5.9. Assertion Presentation | 5.9. アサーション・プレゼンテーション |
5.10. Assertion Validation | 5.10. アサーションの検証 |
5.11. RP Subscriber Accounts | 5.11. RP 利用者アカウント |
6. Security | 6. セキュリティ |
6.1. Federation Threats | 6.1. フェデレーションの脅威 |
6.2. Federation Threat Mitigation Strategies | 6.2. フェデレーションの脅威緩和戦略 |
7. Privacy Considerations | 7. プライバシーに関する考慮事項 |
7.1. Minimizing Tracking and Profiling | 7.1. トラッキングとプロファイリングの最小化 |
7.2. Notice and Consent | 7.2. 通知と同意 |
7.3. Data Minimization | 7.3. データの最小化 |
7.4. Agency-Specific Privacy Compliance | 7.4. 省庁固有のプライバシー・コンプライアンス |
7.5. Blinding in Proxied Federation | 7.5. プロキシされたフェデレーションにおける盲検化 |
8. Usability Considerations | 8. ユーザビリティに関する考慮事項 |
8.1. General Usability Considerations | 8.1. 一般的なユーザビリティに関する考察 |
8.2. Specific Usability Considerations | 8.2. 特定のユーザビリティに関する考慮事項 |
8.2.1. User Perspectives on Online Identity | 8.2.1. オンライン・アイデンティティに関するユーザーの視点 |
8.2.2. User Perspectives of Trust and Benefits | 8.2.2. 信頼と利点に関するユーザーの視点 |
8.2.3. User Mental Models and Beliefs | 8.2.3. ユーザーのメンタル・モデルと信念 |
9. Equity Considerations | 9. 公平性の考慮 |
10. Examples | 10. 例 |
10.1. Mapping FALs to Common Federation Protocols | 10.1. FALを共通のフェデレーション・プロトコルにマッピングする |
10.2. Direct Connection to an Agency’s IdP | 10.2. エージェンシの IdP への直接接続 |
10.3. Multilateral Federation Network | 10.3. 多国間フェデレーション・ネットワーク |
10.4. Issuance of a Credential to a Digital Wallet | 10.4. デジタル・ウォレットへのクレデンシャルの発行 |
10.5. Enterprise Application Single-Sign-On | 10.5. エンタープライズアプリケーションシングルサインオン |
10.6. FAL3 With a Smart Card | 10.6. スマートカードによる FAL3 |
10.7. FAL3 With a non-PKI Authenticator | 10.7. FAL3 と PKI 以外の認証機能 |
10.8. FAL3 With Referred Token Binding | 10.8. 参照トークン・バインディングを使用する FAL3 |
10.9. Ephemeral Federated Attribute Exchange | 10.9. エフェメラルなフェデレート属性交換 |
10.10. Multiple Different Authorized Parties and Trust Agreements | 10.10. 複数の異なる認可された当事者と信頼契約 |
10.11. Shared Pairwise Pseudonymous Identifiers for Multiple RPs | 10.11. 複数のRPのための共有ペアワイズ仮名識別子 |
10.12. RP Authentication to an IdP | 10.12. IdPに対するRP認証 |
References | 参考文献 |
Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書 A. 記号、略語、頭字語一覧 |
Appendix B. Glossary | 附属書 B. 用語集 |
Appendix C. Changelog | 附属書 C. 変更履歴 |
List of Tables | 表 一覧 |
Table 1. Federation Assurance Levels | 表 1. フェデレーション保証レベル |
Table 2. Federation Threats | 表 2. フェデレーションの脅威 |
Table 3. Mitigating Federation Threats | 表 3. フェデレーションの脅威を軽減する |
Table 4. Proxy Characteristics | 表 4. プロキシの特徴 |
Table 5. FAL Protocol Examples | 表 5. FALプロトコルの例 |
List of Figures | 図 一覧 |
Fig. 1. Federation Proxy | 図 1. フェデレーションプロキシ |
Fig. 2. Federation Authority | 図 2. フェデレーションオーソリティ |
Fig. 3. Holder-of-Key Assertions | 図 3. 鍵の所有者のアサーション |
Fig. 4. Bound Authenticators | 図 4. バウンド認証機能 |
Fig. 5. Subscriber-Provided Bound Authenticator Binding Ceremony | 図 5. サブスクライバが提供するバウンド認証機能バインディング・セレモニー |
Fig. 6. Federation Overview | 図 6. フェデレーションの概要 |
Fig. 7. Just-In-Time Provisioning | 図 7. ジャストインタイム・プロビジョニング |
Fig. 8. Pre-Provisioning | 図 8. 事前プロビジョニング |
Fig. 9. Ephemeral Provisioning | 図 9. エフェメラル・プロビジョニング |
Fig. 10. Session Lifetimes | 図 10. セッションの有効期間 |
Fig. 11. Back-channel Presentation | 図 11. バックチャネル・プレゼンテーション |
Fig. 12. Front-channel Presentation | 図 12. フロント・チャンネル・プレゼンテーション |
Fig. 13. Subscriber-Controlled Wallet | 図 13. 加入者が管理するウォレット |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.04.25 米国 NIST SP 800-63B [補足 1] NIST SP 800-63B: デジタル・アイデンティティ・ガイドライン - 認証およびライフサイクル管理への同期可能な本人認証の組み込み
・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines
・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました
Recent Comments