2022年12月に米国立標準技術研究所(NIST)により、電子的な本人確認に係るデジタルアイデンティティガイドライン(NIST SP 800-63)の第4版(NIST SP 800-63-4)のドラフトが公開されました[1]。
同ガイドラインはアメリカの連邦政府機関のシステムを対象としているものの、日本を含む他国での公共領域のみならず民間領域でも参照されており、第4版ドラフトの公開時も多くの注目が集まりました。日本でもOpenIDファウンデーション・ジャパンの有志による翻訳版が公開されています[2]。
本連載では第4版ドラフト公開後のデジタルアイデンティティにまつわる出来事も踏まえつつ、第3版から第4版ドラフトへの主要な変更事項を読み解き、昨今のデジタルアイデンティティの潮流やこれから訪れうる変化を見出していきます。
なお、デジタルアイデンティティについては筆者の別記事もぜひご覧ください。https://www.nri-secure.co.jp/blog/digital-identity
本連載の関連記事はこちら
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<身元確認編>
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<当人認証編>
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<フェデレーション編>
▶「大規模ユーザを管理する顧客ID統合プロジェクト成功の秘訣」をダウンロードする
NIST SP 800-63シリーズ自体は2006年に「電子認証に関するガイドライン」として初版が公開され、次版の第1版が2011年、第2版が2013年、名称を現在の「デジタルアイデンティティガイドライン」に変えた第3版が2017年に公開されてきました。
第4版の正式版の公開は2024年の春頃に予定されていましたが、米国時間2024年4月22日に公表された第3版の一部改訂についての文書より、第4版の2つ目のドラフトが2024年半ばに公開されるということが分かりました。第4版の正式版が公開される新たな時期は現時点では不明です。
ちなみに、NIST SP 800-63シリーズは、元々は2003年12月に出されたアメリカ合衆国行政管理予算局(OMB)による連邦政府機関向けの電子認証ガイダンスの覚書(OMB M-04-04)[3]を補うための技術的なガイダンスとしての立ち位置でした。
今回比較する第3版(NIST SP 800-63-3)と第4版ドラフト(NIST SP 800-63-4 Draft)のガイドラインはどちらも4つの文書から構成されており、本記事で紹介する全体概要(ベース)[4]、デジタルアイデンティティの登録および身元確認とそれらの保証レベル(A)[5]、デジタルアイデンティティの当人認証とその保証レベル(B)[6]、システム間での認証連携(フェデレーション)とその保証レベル(C)[7]の文書から成り立っています。A、B、Cについてはそれぞれ本連載の別記事にて変更点を紹介していきます。
まずは全体を俯瞰するためにベースの章立てから変更点を見ていきましょう。現行の第3版(NIST SP 800-63-3)の章立てを踏まえて、第4版ドラフト(NIST SP 800-63-4ドラフト)の章立てを下の表にまとめています。それぞれの版で、同じような内容についての箇所は同列に配置しています。また、項目自体が無くなったり追加されたり、項目名が変更されたりした箇所については表に色を付けています。
まず、第3版では全8章で構成されていましたが、第4版ドラフトでは全5章と章番号無しの参考文献などという構成に大きく変わりました。
項目名の変化や構成の入れ替えも多くある傍ら、第4版として追加されたものの中で特に印象的な項目は、2.3でのエンタープライズにおけるリスク管理の要件と考慮点、2.3.3での公平性、2.3.4でのユーザビリティ、4.4.1でのフェデレーションのメリット、5.3での保証レベルの調整、5.4での継続的な評価と改善、5.5でのサイバー、不正行為、アイデンティティプログラムの完全性などが挙げられます。
全体像を俯瞰した上で、各項目の中身を見ていきます。全ての項目の変化事項を記載しきれないため、ここでは第4版ドラフトの章立ての中で、主要かつ重要な箇所を取り上げていきます。
1.(目的)はガイドライン全体がベース、A、B、Cから構成されており、組織がデジタルアイデンティティのサービスを実装するにあたっての技術的な文書群である旨の一文のみの記載ですが、第3版は「機関(agencies)」という表現だったものが、第4版ドラフトでは「組織(organizations)」に変わったり、「勧告(recommendation)」が「発行物(publication)」に変わったりしました。
前者については、要約などでは本ガイドラインは連邦政府機関(federal agencies)向けという旨の記載のままですが、ガイドラインを通して第3版においては主語が「機関」だった箇所の多くが第4版ドラフトでは「組織」に置き換わっております。この変化からは、各連邦政府機関(省庁など)単位だったものが機関内の部署といった組織単位、さらには連邦政府機関に付随するような公的組織などより細かい単位でガイドラインの内容を活用させる意図が読み取れます。
2.(イントロダクション)は、第3版ではガイドライン全体の概要としてデジタルアイデンティティ、身元確認、デジタルな認証の定義、3つの保証レベルなど具体的な内容の説明がありました。第4版ドラフトでの本項目では定義や保証レベルの説明は無くなり、デジタルアイデンティティの確立はデジタルアイデンティティの持ち主とそれに係る人、組織、システムの間でのトラストを表すものだが、デジタルアイデンティティのなりすましなどのリスクや個人の需要なども踏まえてデジタルサービスをデザインするように、といった抽象的な記述に置き換わりました。
さらに、個人、コミュニティ、その他の組織へのリスクも強固かつ明確に説明し、組織のサイバーセキュリティを優先したデジタルアイデンティティに関する決定事項が、個人によるサービス利用時のプライバシー、公平性、ユーザビリティ、ミッションや成果などに影響するかについても考慮するようにという旨の記載も加わりました。
記述内容の大きな変化の理由としては、第3版ではガイドラインの要件を達成することが目的だと読み手に捉えられてしまっていたことに対して、第4版ドラフトではガイドラインの内容としてのデジタルアイデンティティの考慮事項を踏まえた対策などはあくまで手段で、本来達成したかった組織のミッションなどのサービス提供を目的とすることを求めるようになったことが考えられます。
2.1(対象と適用領域)では、物理的なアクセスを行う対象のアイデンティティ、デバイスのアイデンティティ、対象の代理としてのAPIへのアクセスの認可については対象外とする旨が追記されています。これはデジタルアイデンティティの概念が社会のより一層のデジタル化によってIoT端末等までにも適用されるようになったため、混同を避けるためにも本ガイドラインでは自然人のアイデンティティを対象にしたいという背景が伺えます。
2.3(エンタープライズ[8]でのリスク管理の要件と考慮点)では、リスク管理の対象としてセキュリティ、プライバシー、公平性、ユーザビリティや、さらには本ガイドラインに記載されている以外の要素も考慮するようにと新たに記載されました。この記載変更は変化が激しい社会において、将来発生しうる新たなリスクや、サービスの提供局面に応じてのリスクも主体的に考慮することが求められるようになった背景が考えられます。
2.3.1(セキュリティ)では、組織は本ガイドラインの案内を参照する際には情報セキュリティのCIA(機密性、完全性、可用性)も考慮することと、さらに連邦政府機関はFISMA(Federal Information Security Modernization Act)に準拠するようにという旨が記載されました。前述の通り連邦政府機関内の組織単位で本ガイドラインが活用されることが想定されており、本項での記述は組織としては情報セキュリティのCIAも考慮、ガイドラインの対象となる組織を一般的に包含する連邦政府機関としてはFISMAに準拠するという構造を明確にしていると考えられます。
2.3.3(公平性)は第4版で新たに追加された項目で、バイデン大統領による就任後初めて発令された2021年1月の大統領令13985(”Advancing Racial Equity and Support for Underserved Communities Through the Federal Government”)に基づいて、人種やエスニシティ、少数派の宗教、LGBTQ+、障がい、非都市圏居住、その他の理由での継続的な貧困や不平等、といった要因で不十分なサービスしか受けられないコミュニティに所属する利用者そのものへの配慮を行うことをデジタルアイデンティティのシステムにおいても考慮するようにと記載されました。
皮膚の色によって生体認証の精度が異なる、宗教的理由での衣服によって身元確認が困難になる、見た目で性の属性を判断される、障がいで操作ができない、非都市圏に居住しており役所へ物理的に行くことが困難、貧困でサービスを利用するための端末を持っていないといったケースが想像されます。この記載からは多種多様なバックグラウンドを持つ人の存在が意識されるようになった社会において、組織の本来のミッション達成を目的としながらデジタルの世界でも公平なデジタルアイデンティティ利用の権利を提供する必要性が重視されるようになったことが見受けられます。
2.3.4(ユーザビリティ)も第4版で同じく新たに追加された項目で、効果的で効率的、かつ目的を達成できるためのユーザビリティを考慮し、利用者の意図しない操作が行われないようにするようにと記載されました。ユーザビリティも考慮した、安全で使いやすいサービスを提供する重要性を伝えたい意図が伝わります。
第3章は定義と略語という題目ですが、内容自体は本文書のAppendix Aに記載されているため、本記事での詳細の差分については割愛します。
4.2(登録とアイデンティティプルーフィング)では、身元確認としてアイデンティティの検証を行っていない状態のデジタルアイデンティティと身元確認の保証レベル(IAL)をIAL0(ゼロ)として定義した旨と、アイデンティティサービスに登録する際の実行内容について説明されています。第3版ではIALは3つのレベルだったものが、IAL0(ゼロ)も加えられて4つのレベルになったことは第4版ドラフトでの大きな変更点の一つで、文書A(保証レベル)についての記事にて詳細を紹介します。
4.3.1(認証器)では、同じ要素が複数使われていても多要素認証では無い旨が明記されました。この記述の変化からは、複数のパスワードでの認証や、分かりやすい例えでは映画に出てくるような顔認証と虹彩認証を組み合わせるだけで多要素認証になるといった誤解を解く意図が伝わってきます。
さらに、生体単体では認証には用いられないという記述は一貫しているものの、第3版では生体は物理的な認証器と強く紐づけられることで認証に用いることができるという記載が、第4版ドラフトでは生体は所持される認証器と組み合わせることで多要素認証の一要素となるという旨に変わりました。このような記述の変化については、生体単体は認証に用いることはできない意図は踏襲されつつ、多要素認証の中で生体を用いることは可能ということを分かりやすくしたい考えが読み取れます。
4.4.1(フェデレーションのメリット)は第4版ドラフトでの新しい項目で、フェデレーション(連携)によるユーザー体験の向上、コスト低減、収集・保有・廃棄データの最小化、露呈するデータの最小化、事業目的への専念が列挙されています。ここでは、OpenID Connectなどを用いたフェデレーションが普及し、実際に多くの組織や利用者が享受できるようになったフェデレーションのメリットを記載することで、より多くの局面においてフェデレーションの活用が望ましい旨を伝えているとうかがえます。
5.3(保証レベルの調整)は、第3版では特に強く意識されていなかった保証レベルの策定後の継続的な調整を目的としたもので、調整のプロセスや文書化について記載がされています。変化する社会でリスクを継続的に見直すことの重要さと、2.(イントロダクション)についてでも記載したように個人、コミュニティ、その他の組織といった外部に対しても説明責任を果たせるアイデンティティシステムの活用の必要性が強まったことが背景にあると考えられます。
5.4(継続的な評価と改善)も5.3と同様な継続的な活動で、こちらは攻撃者の適応、利用者の期待や要望の変化、ミッションの高度化を踏まえてのリスク評価を目的としています。ここでは継続的な評価の実施に加えて、アイデンティティシステムに係る人々からのフィードバックも取りこむことが求められるようになっており、組織内部だけでデジタルアイデンティティのシステムについて考えるのではなく、幅広い意見を募りながら改善し続けていく必要性がうかがえます。
5.5(サイバー、不正行為、アイデンティティプログラムの完全性)は本文書の最後の項目ですが、アイデンティティソリューションはビジネスやサービスのクリティカルな機能という重要な一文から始まっています。第4版ドラフトでは、アイデンティティ機能がサイバーセキュリティ、脅威インテリジェンス、プログラム完全性などのチームと協力することで、ビジネスの能力を保護しつつアイデンティティソリューションの能力を向上できると記載されています。
他方で、収集、送信、共有されるデータは最小化されることとプライバシー及び法的なアセスメントの対象となることも求められており、デジタルアイデンティティの多面的な保護の重要性を伝えて締めくくられています。日本においても、IPA(独立行政法人情報処理推進機構)による個人の情報セキュリティ10大脅威 2023の1位がフィッシングによる個人情報等の窃取で、9位がインターネット上のサービスへの不正ログインが挙げられているように、とりわけ個人のデジタルアイデンティティを直接的にも狙ったものは相変わらず多い状況で、ビジネスを拡大しつつもサイバー空間上で人や組織をセキュリティとプライバシーの両観点で守る重要性がアメリカの連邦政府機関でもますます高まっていることがうかがえます。
第4版ドラフトへの変化点を読み解くと、組織としての本来達成するべきミッションを重視したデジタルアイデンティティ自体の活用を行いつつ、デジタルアイデンティティを取り巻くリスクも含めて硬直的に捉えるのではなく、セキュリティ、プライバシー、利用者の多様化、ユーザビリティも念頭に置きながら柔軟に対応し続けていくことが求められるようになったことが考えられます。デジタルアイデンティティガイドライン自体も改版されるように、組織としてのデジタルアイデンティティへの対応も常にアップデートが要求され、なおかつ多角的な観点から考慮が必要になっています。
次回以降の記事では、身元確認、当人認証、フェデレーションのそれぞれでのガイドラインの記載としてより詳細な変更点や、具体的にどのような対応が求められうるのかを読み解いていきます。
当社では今回取り上げるような様々なデジタルアイデンティティガイドラインを含む様々なガイドラインや各種標準仕様の内容も踏まえつつ、常にアップデートされていくデジタルアイデンティティやプライバシーの最新動向を踏まえた様々なコンサルテーション、サービスやアプリケーションの設計レビュー、コンシューマ向けID管理製品 Uni-ID Libraのソリューション提供まで一気通貫でビジネスとセキュリティの強化をご支援します。
NIST SP 800-63-4(ドラフト)で強調されたような多角的な観点も踏まえたサービス提供にご協力させていただきますので、お気軽にご相談ください。
[1] NIST SP 800-63-4ドラフトのプロジェクト概要https://csrc.nist.gov/publications/detail/sp/800-63/4/draft
[2]OpenIDファウンデーション・ジャパンによるNIST SP 800-63-4ドラフトの翻訳版 https://openid-foundation-japan.github.io/800-63-4/index.ja.html
[3] 米国連邦政府機関向けの電子認証ガイダンスの覚書(OMB M-04-04) https://georgewbush-whitehouse.archives.gov/omb/memoranda/fy04/m04-04.pdf
[4] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-4.ipd.pdf
[5] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63A-4.ipd.pdf
[6] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63B-4.ipd.pdf
[7] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63C-4.ipd.pdf
[8] 原文のEnterpriseとは企業ではなく、リスクを取って行うプロジェクトのことを指しますが、日本語では相応しい単語が存在しないため「エンタープライズ」としています。