LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@yaaasuu

NIST SP 800-63-Aを読む 4

Posted at

NIST SP800-63-A

  1. Purpose(Informative)
  2. Introduction(Informative)
  3. Definitions and Abbreviations(Informative)
  4. Identity Assuarance Level Requirements(Normative)
  5. Identity Resolution, Validation, and Verification(Normative)
  6. Derived Credentials(Normative)
  7. Threats and Security Considerations(Informative)
  8. Privacy Considerations(Informative)
  9. Usability Considerations(Informative)
  10. References(Informative)

ゆるゆると読み進めている間にNIST SP 800-63-4のsecond public draftが最終レビューに入ったようですね!
悩ましいですが、Validation, Verification部分は後学のために読み切りたいと思うので5までは今のまま読み進めます💪

5.3 Identity Verification

アイデンティティ検証の目的は提示されたエビデンスと実在の主体の関連性を確認、確立すること

5.3.1 Identity Verification Methods

検証の強度については下記のいずれかに分類される

  • Unacceptable:エビデンスの検証が行われなかったか、失敗
  • Weak:申請者は提示されたエビデンスにアクセスできることで主張しているアイデンティを裏付けられる
  • Fair:申請者のアイデンティティの所有権は下記のいずれかで確認されている
    • KBV
    • 最も信頼性の高いエビデンスとの物理的な比較(リモートで物理的に比較される場合はSP 800-63B, Section 5.2.3の要件に準拠)
    • 申請者の生体情報との比較(リモートで比較される場合は、SP 800-63B, Section 5.2.3に準拠)
  • Strong:申請者のアイデンティティの所有権は下記のいずれかで確認されている
    • 適切な技術を用いた物理的な比較(リモートで物理的に比較される場合はSP 800-63B, Section 5.2.3の要件に準拠)
      • 写真と最も信頼性の高いエビデンスを用いる
    • 適切な技術を用い、申請者の最も信頼できるエビデンスと比較するために生体認証を行う(リモートの場合はSP 800-63B, Section 5.2.3に準拠)
  • Superior:適切な技術を用い、申請者の最も信頼できるエビデンスと比較するために生体認証を行う(リモートの場合はSP 800-63B, Section 5.2.3に準拠)

5.3.2 Knowledge-Based Verification Requirements

以下はIAL2のアイデンティティ検証に適用される

  • 検証のために2つ以上のエビデンスを使用したKBV不可
  • 申請者と権威ある期間のみが知りうる情報のみを利用(KVBプロセスを始めるために必要な情報も含む)
    • 自由にアクセスできるもの、有料で公開されているもの、black marketを通じて入手できるものは使えない
  • 解決済みかつ検証済みのアイデンティティをKBVからオプトアウトし、他の検証プロセスを利用できるようにしなければならない
  • CSPが参加している最近のトランザクション履歴に関する知識を検証することでKBVを実施
    • その際、トランザクションの情報が最低20ビットのエントロピーを持つことを保証しなければならない
  • 以下の要件に基づいて、申請者に質問をすることでKBVを実施してもよい
    • KBVは複数の権威ある情報源に基づく
    • KVBのステップを完了させるために、KBV質問を最低4つ設けそれぞれに正解するよう要求
    • 自由記述の回答質問を必須とする
      • 選択式の質問も出題可能だが、質問ごとに最低4つの回答を設ける
    • KVBのステップを完了させるために2回の試行を許可すべき
      • 3回より多い試行は許可してはならない
    • 質問ごとに2分間操作が行われなければKBVセッションをタイムアウトし、プロセス全体を失敗とする
    • 「正解が none of the above になる質問」が全体の半分以上を占めてはいけない
    • 後続の試行で同じ質問をしてはならない
    • 単一セッションもしくは失敗後の後続セッションで、今後の質問の回答に役立つ情報を与えるような質問はしてはならない
    • 「あなたの最初の車は?」など回答が変化しない質問はしてはならない
    • 質問によって申請者が提供していないPIIが明らかにならないようしなければならない

5.3.3 In-person Proofing Requirements

対面でのIAL3のproofingは2つの方法で実施される

  • オペレータの監視下で申請者と物理的なやり取りをする
  • オペレータの監視下で申請者とリモートでやり取りをする

5.3.3.1 General Requirements

  • オペレータが生体情報に非自然的なものがないかを確認する
  • 他の主体から収集されたものではないと保証した状態で、生体情報を収集する

5.3.3.2 Requirements for Supervised Remote In-person Proofing

  • CSPはidentity proofing全体のセッションを監視し、離れてはいけない
  • オペレータはライブで対応し、申請者の行動がリモートで明確に確認できるようにする
  • 統合されたスキャナーやセンサーでエビデンスのデジタルな検証を要求する
  • オペレータが潜在的な不正を検知し、適切にidentity proofingを行うためのトレーニングを受講させる
  • 環境に適した物理的な改ざんの検知、耐性機能を導入
  • すべての通信が相互認証された保護チャネルを通じて行われることを保証

5.3.4 Trusted Referee Requirements

  • CSPは申請者の代理として行動できる代理人を利用してもよい
    • ※法律、規制、機関のポリシーに従う
    • リモート、対面の手続きどちらも可能
  • 代理人決定、代理人■のライフサイクルについて文書化されたポリシーや手続きを定める
  • 申請者のidentity proofingと同じIALを代理人にも求め、代理人と申請者を紐づけるための最小限のエビデンスを決定
  • ポリシーに基づいて、定期的にre-proofingを実施

5.4 Binding Requirements

  • 800-63-B Section6.1を確認

参考

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?