NIST SP800-63-A
- Purpose(Informative)
- Introduction(Informative)
- Definitions and Abbreviations(Informative)
- Identity Assuarance Level Requirements(Normative)
- Identity Resolution, Validation, and Verification(Normative)
- Derived Credentials(Normative)
- Threats and Security Considerations(Informative)
- Privacy Considerations(Informative)
- Usability Considerations(Informative)
- References(Informative)
前回は1~3を見ましたので、今回はその続きから見ていきます。
6くらいまで読んでしまおう!と血迷いましたが、量に負けたので今回はセクション4です。
4. Identity Assuarance Level Requirements
このセクションではIdentityの確認、検証パターンが記載されている
- Identity Proofingの目的:提示されたIdentityを確実に保証すること
- 属性の提示、確認、検証が行われる
4.1 Identity Proofing
Identity Proofingおよび登録の基本的な流れ
- Resolution
Coreとなる属性とIdentity Evidenceを収集(コンテキストや集団の中で一意であることを確認) - Validation
提示されたEvidenceを確認(実在する主体とIdentityをマッチングするため認証、確認を行う) - Verification
Evidenceを検証する(提示されたIdentityが提示した主体と紐づけられるかを検証)
4.2 General Requirements
IAL2、IAL3でIdentity Proofingを行うCSPの要件(IALの選択はSP800-63-3のSection6.1)
🐈項目が多くて慄きましたが、目的に合わせて最小限の情報を収集して適切に管理しましょうということですね!
- サービスへのアクセス資格を判断するためにIdentity Proofingを行うべきではない
- PII(Personally Identifiable Information、個人識別情報)の収集は最小限にする
- 収集・管理の目的は明示する
- 収集した情報は、本人の同意なく利用すべきではない(法的な場合を除く)
- 収集した情報は機密性、完全性、帰属性を保証
- Identity Proofingに関する問題を是正するメカニズムの提供、それが機能しているかの評価を
- Identity Proofingや登録プロセスはポリシーやpractice statementに従う
- 監査ログを含むIdentity検証プロセスの記録を管理
- Identity Evidenceのタイプも記録
- プライバシーおよびセキュリティに関するリスクマネジメントを実施
- トランザクションは認証済みの保護されたチャネルで行う
- 不正防止の対策を用いてIdentity Proofingの信頼性を向上
- 防止策に対してプライバシーリスクアセスメントを実施
- Identity Proofingおよび登録プロセス完了時PIIの破棄、保存期間中の保護が必要
- Proofingサービスを提供する場合は下記の要件が適用される(民間プロバイダーでも政府でも)
- PII収集において
- Privacy Act要件が適用されるかの分析
- E-Government Act of 2002が適用されるかの分析
- 該当する場合
- SORN( System of Records Notice)を公開
- PIA(Privacy Impact Assessment)を公開
- PII収集において
- Identity Resolutionに必要でない場合はSSN(Social Security Number)を収集すべきでない
4.3 IAL1
🐈IAL1だとむしろ検証がだめなのを初めて知りました
- IAL1のみをサポートする場合にCSPは属性の確認、検証をすべきでない
- 登録に自己主張の属性を要求可能
- IAL2~3のCSPはユーザーの同意があればIAL1しか要求しないRPもサポートすべき
4.4 IAL2
- リモートおよび対面でのIdentity Proofingが可能
- CSPは4.4.1の要件に従ってProofingを行う
- サービス提供先の対象によっては4.4.2に従って追加実装可能
4.4.1 IAL2 Conventional Proofing Requirements
4.4.1.1 Resolution Requirements
PIIはIdentityを一位に識別するための必要最低限のみ収集
4.4.1.2 Evidence Collection Requirements
CSPは以下のいずれかを申請者から収集
- SUPERIORもしくはSTRONGなエビデンス1点(発行元がIdentity Proofing時に2つ以上のSUPERIORもしくはSTRONGなエビデンスを収集することによって、CSPがエビデンスを発行元に直接確認する場合)
- SUPERIORもしくはSTRONGなエビデンスを2つ
- SUPERIORもしくはSTRONGなエビデンスを1つとFAIRなエビデンスを2つ
4.4.1.3 Validation Requirements
エビデンスは提示されたエビデンスと同じ強度のプロセスで確認する
4.4.1.4 Verification Requirements
- 申請とエビデンスの紐づけはSTRONGにあたるプロセスで検証
- Knowledge-Based Verification(KBV)は対面(物理的に対面か監視された状態のリモート)の検証のために利用してはならない
4.4.1.5 Presence Requirements
CSPは対面かリモートでのIdentity Proofingをサポートする
4.4.1.6 Address Confirmation
- 住所確認
- 確認に用いる有効な記録は発行元もしくは権威ある情報源
- 登録上の住所を確認
- 提示された有効な本人確認資料に記載された住所を検証
4. Identity Assuarance Level Requirements
このセクションではIdentityの確認、検証パターンが記載されている
- Identity Proofingの目的:提示されたIdentityを確実に保証すること
- 属性の提示、確認、検証が行われる
4.1 Identity Proofing
Identity Proofingおよび登録の基本的な流れ
- Resolution
Coreとなる属性とIdentity Evidenceを収集(コンテキストや集団の中で一意であることを確認) - Validation
提示されたEvidenceを確認(実在する主体とIdentityをマッチングするため認証、確認を行う) - Verification
Evidenceを検証する(提示されたIdentityが提示した主体と紐づけられるかを検証)
4.2 General Requirements
IAL2、IAL3でIdentity Proofingを行うCSPの要件(IALの選択はSP800-63-3のSection6.1)
🐈項目が多くて慄きましたが、目的に合わせて最小限の情報を収集して適切に管理しましょうということですね!
- サービスへのアクセス資格を判断するためにIdentity Proofingを行うべきではない
- PII(Personally Identifiable Information、個人識別情報)の収集は最小限にする
- 収集・管理の目的は明示する
- 収集した情報は、本人の同意なく利用すべきではない(法的な場合を除く)
- 収集した情報は機密性、完全性、帰属性を保証
- Identity Proofingに関する問題を是正するメカニズムの提供、それが機能しているかの評価を
- Identity Proofingや登録プロセスはポリシーやpractice statementに従う
- 監査ログを含むIdentity検証プロセスの記録を管理
- Identity Evidenceのタイプも記録
- プライバシーおよびセキュリティに関するリスクマネジメントを実施
- トランザクションは認証済みの保護されたチャネルで行う
- 不正防止の対策を用いてIdentity Proofingの信頼性を向上
- 防止策に対してプライバシーリスクアセスメントを実施
- Identity Proofingおよび登録プロセス完了時PIIの破棄、保存期間中の保護が必要
- Proofingサービスを提供する場合は下記の要件が適用される(民間プロバイダーでも政府でも)
- PII収集において
- Privacy Act要件が適用されるかの分析
- E-Government Act of 2002が適用されるかの分析
- 該当する場合
- SORN( System of Records Notice)を公開
- PIA(Privacy Impact Assessment)を公開
- PII収集において
- Identity Resolutionに必要でない場合はSSN(Social Security Number)を収集すべきでない
4.3 IAL1
🐈IAL1だとむしろ検証がだめなのを初めて知りました
- IAL1のみをサポートする場合にCSPは属性の確認、検証をすべきでない
- 登録に自己主張の属性を要求可能
- IAL2~3のCSPはユーザーの同意があればIAL1しか要求しないRPもサポートすべき
4.4 IAL2
- リモートおよび対面でのIdentity Proofingが可能
- CSPは4.4.1の要件に従ってProofingを行う
- サービス提供先の対象によっては4.4.2に従って追加実装可能
4.4.1 IAL2 Conventional Proofing Requirements
4.4.1.1 Resolution Requirements
PIIはIdentityを与えられたコンテキストで一意に識別するための必要最低限のみ収集するが、データの照会を補助する属性の収集を含んでもよい
4.4.1.2 Evidence Collection Requirements
CSPは以下のいずれかを申請者から収集
- SUPERIORもしくはSTRONGなエビデンス1点(発行元がIdentity Proofing時に2つ以上のSUPERIORもしくはSTRONGなエビデンスを収集することによって、CSPがエビデンスを発行元に直接確認する場合)
- SUPERIORもしくはSTRONGなエビデンスを2つ
- SUPERIORもしくはSTRONGなエビデンスを1つとFAIRなエビデンスを2つ
4.4.1.3 Validation Requirements
エビデンスは提示されたエビデンスと同じ強度のプロセスで確認する
4.4.1.4 Verification Requirements
- 申請とエビデンスの紐づけはSTRONGにあたるプロセスで検証
- Knowledge-Based Verification(KBV)は対面(物理的に対面か監視された状態のリモート)の検証のために利用してはならない
4.4.1.5 Presence Requirements
CSPは対面かリモートでのIdentity Proofingをサポートする
4.4.1.6 Address Confirmation
🐈確認時の遅延はOKなんですね
- 確認に用いる有効な記録は発行元もしくは権威ある情報源
- 住所記録を確認
- 有効なエビデンスに記載された住所を確認する
- 未確認の自己主張の住所データは確認に用いてはならない
- 対面でのProofing(物理的に対面か監視された状態のリモート)
- 確認された住所記録に対してProofingの通知を送る
- 認証器と申請者の紐づけが後日になる場合、登録コードを直接申請者に提示可能
- コードの有効期限は7日
- リモート(監視なし)でのProofing
🐈コードを教えてしまえば別の人が完了することもできる気がするけれど、紐づけには支障がないからいいのか……
🐈電話番号よりメールの方が最大有効期限長いのは意外だったけど送信遅延を考慮しているんだろうか- 住所記録に対して登録コードを送信
- Identity Proofingプロセス完了には有効な登録コードを提示する必要あり
- CSP(認証サービス提供者)は、登録コードを記録によって検証済みの郵送先住所に送付することが望ましい
- 記録で確認済みの郵送に登録コードを送付することが望ましい
- 検証されている場合は登録コードを携帯電話(SMSまたは音声通話)、固定電話、または電子メールに送付してもよい
- 登録コードが認証要素としても使用される場合は初回使用時にリセット
- 最大有効期限は下記の通り
- アメリカ本土の記録された郵便住所に送る場合は10日間
- アメリカ本土外の記録された郵便住所に送る場合は30日間
- 記録された電話に送る場合は10分(SMSまたは音声通話)
- 記録されたメールアドレスに送る場合は24時間
- 登録コードとProofingの通知が記録上の異なる住所に送信することを保証
- 例えば登録コードを記録上確認された電話番号に送信する場合、通知は確認済みの郵便住所かか免許証などの確認、検証されたエビデンスから取得した住所に送信
- 住所記録に対して登録コードを送信
4.4.1.7 Biometric Collection
否認防止やre-proofingを目的にバイオメトリクスを収集してもよい
4.4.1.8 Security Controls
- SP800-53もしくは同等の連邦/業界標準で定義されているmoderateもしくはhighレベルのセキュリティ管理ベースラインから管理の強化を含めて適切に調整されたセキュリティ管理をを採用
- moderate-impactのシステムに対して要求される最低限の保証に関する管理、もしくはそれと同等のものが満たされていることを保証
4.4.2 IAL2 Trusted Referee Proofing Requirements
個人が4.4.1のエビデンス要件を満たせない場合、信頼できる仲介者を用いて申請者の本人確認をサポートしてもよい
4.5 Identity Assurance Level 3
- IAL3はIdentityやRPにおけるなりすまし、詐欺などから保護するための追加的な特定のプロセスを含む(バイオメトリクスの使用も含む)
- バイオメトリクスは不正な登録、重複登録の検知、クレデンシャルへのバインドを再確立するメカニズム
- IAL3のIdentity Proofingは対面(物理的に対面か監視された状態のリモート)
🐈4.4のIAL2だとコンテキストの中で一意ならよかったのですが、IAL3だと記録上の一意性が求められますね
4.5.1 Resolution Requirements
PIIはIdentityを一意な記録に識別するための必要最低限のみ収集するが、データの照会を補助する属性の収集を含んでもよい
4.5.2 Evidence Collection Requirements
CSPは以下のいずれかを申請者から収集
- SUPERIORなエビデンス2点
- SUPERIORなエビデンス1点とSTRONGなエビデンス1点(後者の発行元がIdentity Proofing時に2つ以上のSUPERIORもしくはSTRONGなエビデンスを収集することによって申請されたIdentityを確認し、CSPがエビデンスを発行元に直接確認する場合)
- STRONGなエビデンスを2つとFAIRなエビデンスを1つ
4.5.3 Validation Requirements
エビデンスは提示されたエビデンスと同じ強度のプロセスで確認する
4.5.4 Verification Requirements
- 申請とエビデンスの紐づけはSUPERIORにあたるプロセスで検証
- Knowledge-Based Verification(KBV)は対面(物理的に対面か監視された状態のリモート)の検証のために利用してはならない
4.5.5 Presence Requirements
CSPはIdentity Proofingの一連の流れを申請者と対面で行う
4.5.6 Address Confirmation
- 提供された有効なIdentityエビデンスに含まれている住所を確認することで、住所を確認
- 申請者が提供した情報を確認することで住所確認をしてもよい
- 自己主張の住所データは確認への使用不可
- 確認された住所記録に対してProofingの通知を送る
- 認証器とのバインディングが後日行われる場合は登録コードを直接渡してもよい
- 最大有効期限:7日
4.5.7 Biometric Collection
CSPはバイオメトリクスサンプル(顔の画像、指紋など)を否認防止、re-proofingの目的で収集、記録する
4.5.8 Security Controls
- SP800-53もしくは同等の連邦/業界標準で定義されているhighレベルのセキュリティ管理ベースラインから管理の強化を含めて適切に調整されたセキュリティ管理をを採用
- high-impactのシステムに対して要求される最低限の保証に関する管理、もしくはそれと同等のものが満たされていることを保証
🐈バインディングはバイオメトリクスか登録コードになるのね
4.6 Enrollment Code
- 登録コードで申請者が住所記録を管理していることを確認するのと同時に、申請者が自分の登録記録とのバインディングを再確立する
- バインディングはオリジナルのIdentity Proofingトランザクションと同じセッションで完了する必要はない
- 登録コードは以下のいずれかで構成される
- 最低限ランダムな6文字の英数字か同等のエントロピー
- 上記のデータを含むQRコードのような機械可読可能な光学ラベル
4.7 Summary of Requirements
表のため割愛