業務でデジタルアイデンティティ関連の資料などを読んでると出てくる「IAL」「AAL」「FAL」について、毎回「なんだっけ?」となるのでメモしておく。
それぞれNISTが発行しているコンピュータセキュリティに関するガイドラインの1つ「NIST SP800-63(Digital Identity Guidelines)」でレベル分けされ定義されています。
本ガイドラインではデジタルアイデンティティ
の払い出し、認証手段、ID連携(フェデレーション)の3点に関する信頼性の基準を定義しています。
どこかで詳細を確認し、整理する予定ですが、いったんメモだけしておきます。
身元保証レベル(IAL:Identity Assuarance Level)
データベースへ属性情報を登録する際の「身元確認」に関する保証レベル。
NIST SP800-63-3 は米国の連邦政府向けの基準のため、日本の民間にそのまま適用するのはおすすめできない。
登録と本人確認のプロセスは大きく3つのサブプロセスに分類され、保証レベルに応じて要件が定義されている。
| サブプロセス | 概要 |
|---|---|
| Resolution(収集) | 確認に使う属性を利用者から収集する |
| Validation(確認) | 収集した情報を信頼できる情報ソースへ確認する |
| Verification(検証) | 登録対象者と照会・確認した属性情報がマッチするかどうか検証する |
| IAL | 要件 |
|---|---|
| 1 | 収集・確認・検証に関する要件なし |
| 2 | 収集・確認した情報を対面もしくは非対面で検証する |
| 3 | 収集・確認した情報を対面で検証する |
認証保証レベル(AAL:Authenticator Assuarance Level)
ユーザーの認証を行う際に利用する「認証器の強度」に関する保証レベル。
そのエンティティ認証がどのくらい信頼できるかの度合い。
連携保証レベル(FAL:Federation Assuarance Level)
アイデンティティ連携の話。
認証連携の強度を表す。
「ID連携強度」に関する保証レベル。