NIST SP 800-63-4のドラフトの主要な変更事項を読み解く全4回の連載、第2回はSP 800-63A「デジタルアイデンティティの登録および身元確認とそれらの保証レベル」を取り上げます。
本連載の関連記事はこちら
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<全体編>
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<当人認証編>
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<フェデレーション編>
▶「大規模ユーザを管理する顧客ID統合プロジェクト成功の秘訣」をダウンロードする
NIST SP 800-63A 「デジタルアイデンティティの登録および身元確認とそれらの保証レベル」とは
NIST SP 800-63Aは4つの文書で構成されているNIST SP 800-63のうち、デジタルアイデンティティの登録とその身元確認について記載されている文書です。本文書では登録や認証を行おうとする申請者と実在する人物との関連性について、身元確認をもってある程度の確からしさを保証するための要件について記載されています。
NIST SP 800-63A-4のドラフトの項目の変更点
まずは全体を俯瞰するために章立てから変更点を見ていきましょう。NIST SP 800-63A-3とNIST SP 800-63A-4ドラフトのそれぞれで、同じような内容についての箇所は同列に配置しています。また、項目自体が無くなったり追加されたり、項目名が変更されたりした箇所については表に色を付けています。
第3版における4章「IAL*の要件」と5章「身元特定、本人確認書類の検証、身元検証」が、第4版ドラフトではそれぞれ5章と4章になるように構成変更がありました。また第3版の6章「クレデンシャルの導出」の記載が、第4版ドラフトでは削除されて新しく「加入者アカウント」というタイトルで記載されています。そして第4版ドラフトでは10章「公平性に関する考慮事項」が新設されています。
*IAL:身元確認保証レベル
NIST SP 800-63Aの第3版と第4版の章立ての比較表
NIST SP 800-63A-3 | NIST SP 800-63A-4 ドラフト | 第4版での各項目のタイトル(和訳) |
1. Purpose | 1. Purpose | 目的 |
2. Introduction | 2. Introduction | イントロダクション |
2.1. Expected Outcomes of Identity Proofing | 2.1. Expected Outcomes of Identity Proofing | 身元確認の期待される結果 |
2.2. Identity Assurance Levels | 2.2. Identity Assurance Levels | 身元確認保証レベル(IAL) |
3. Definitions and Abbreviations | 3. Definitions and Abbreviations | 定義と略語 |
NIST SP 800-63A-3 | NIST SP 800-63A-4 ドラフト | 第4版での各項目のタイトル(和訳) |
4. Identity Assurance Level Requirements | 5. Identity Assurance Level Requirements | IALの要件 |
4.1. Process Flow | 4.1.1. Process Flow | プロセスの過程 |
4.2. General Requirements | 5.1. General Requirements | IALの一般要件 |
- | 5.1.1. Identity Service Documentation and Records | アイデンティティサービスの文書化と記録 |
- | 5.1.2. General Privacy Requirements | 一般的なプライバシー要件 |
- | 5.1.3. General Equity Requirements | 一般的な公平性要件 |
- | 5.1.4. General Security Requirements | 一般的なセキュリティ要件 |
- | 5.1.5. Additional Requirements for Federal Agencies | 連邦機関への追加要件 |
- | 5.1.6. Requirements for Enrollment Codes | 登録コードの要件 |
- | 5.1.7. Requirements for Notifications of Identity Proofing | 身元確認の通知の要件 |
- | 5.1.8. Requirements for Use of Biometrics | 生体情報の使用に関する要件 |
- | 5.1.9. Trusted Referees and Applicant References | 信頼できるレフリーと申請者のリファレンス |
- | 5.1.10. Requirements for Interacting with Minors | 未成年者への対応の要件 |
- | 5.2. Identity Proofing Process | 身元確認プロセス |
4.3. Identity Assurance Level 1 | 5.3. Identity Assurance Level 1 | IAL1 |
- | 5.3.1. Automated Attack Prevention | 自動攻撃防御 |
- | 5.3.2. Evidence and Core Attributes Collection Requirements | 証拠とコア属性情報の収集の要件 |
- | 5.3.3. Evidence and Core Attributes Validation Requirements | 証拠とコア属性情報の真正性検証の要件 |
- | 5.3.4. Identity Verification Requirements | 身元検証の要件 |
- | 5.3.5. Notification of Proofing Requirement | 身元確認の通知要件 |
NIST SP 800-63A-3 | NIST SP 800-63A-4 ドラフト | 第4版での各項目のタイトル(和訳) |
4.4. Identity Assurance Level 2 | 5.4. Identity Assurance Level 2 | IAL2 |
- | 5.4.1. Automated Attack Prevention | 自動攻撃防御 |
- | 5.4.2. Evidence and Core Attribute Collection Requirements | 証拠とコア属性情報の収集の要件 |
- | 5.4.3. Evidence and Core Attributes Validation Requirements | 証拠とコア属性情報の真正性検証の要件 |
- | 5.4.4. Identity Verification Requirements | 身元検証の要件 |
- | 5.4.5. Notification of Proofing Requirement | 身元確認の通知要件 |
4.4.1. IAL2 Conventional Proofing Requirements | - | - |
4.4.2. IAL2 Trusted Referee Proofing Requirements | - | - |
4.5. Identity Assurance Level 3 | 5.5. Identity Assurance Level 3 | IAL3 |
- | 5.5.1. Automated Attack Prevention | 自動攻撃防御 |
4.5.1. Resolution Requirements | - | - |
4.5.2. Evidence Collection Requirements | 5.5.2. Evidence and Core Attribute Collection Requirements | 証拠とコア属性情報の収集の要件 |
4.5.3. Validation Requirements | 5.5.3. Validation Requirements | 真正性検証の要件 |
4.5.4. Verification Requirements | 5.5.4. Identity Verification Requirements | 身元検証の要件 |
4.5.5. Presence Requirements | - | - |
4.5.6. Address Confirmation | 5.5.5. Notification of Proofing Requirement | 身元確認の通知要件 |
4.5.7. Biometric Collection | 5.5.6. Biometric Collection | 生体情報の収集 |
4.5.8. Security Controls | - | - |
- | 5.5.8. Requirements for IAL 3 Supervised Remote Identity Proofing | 監視下リモートでの身元確認におけるIAL3準拠の要件 |
4.6. Enrollment Code | - | - |
4.7. Summary of Requirements | 5.6. Summary of Requirements | 要件のまとめ |
NIST SP 800-63A-3 | NIST SP 800-63A-4 ドラフト | 第4版での各項目のタイトル(和訳) |
5. Identity Resolution, Validation, and Verification | 4. Identity Resolution, Validation, and Verification | 身元特定、本人確認書類の真正性検証、および身元検証 |
- | 4.1. Identity Proofing and Enrollment | 身元確認と登録 |
5.1. Identity Resolution | 4.2. Identity Resolution | 身元特定 |
5.2. Identity Evidence Collection and Validation | 4.3. Identity Validation and Identity Evidence Collection | 本人確認書類の真正性検証と本人確認証拠の収集 |
5.2.1. Identity Evidence Quality Requirements | 4.3.3. Evidence Strength Requirements | 証拠強度要件 |
4.3.1. Characteristics of Acceptable Physical Evidence | 受け入れ可能な物理的証拠の特徴 | |
- | 4.3.2. Characteristics of Acceptable Digital Evidence | 受け入れ可能なデジタル証拠の特徴 |
5.2.2. Validating Identity Evidence | 4.3.4. Identity Evidence and Attribute Validation | 本人確認証拠と属性情報の真正性検証 |
5.3. Identity Verification | 4.4. Identity Verification | 身元検証 |
5.3.1. Identity Verification Methods | 4.4.1. Identity Verification Methods | 身元検証方法 |
5.3.2. Knowledge-Based Verification Requirements | - | - |
5.3.3. In-Person Proofing Requirements | 5.5.7. In-person Proofing Requirements | 対面での証明の要件 |
5.3.4. Trusted Referee Requirements | - | - |
5.4. Binding Requirements | - | 紐付けの要件 |
NIST SP 800-63A-3 | NIST SP 800-63A-4 ドラフト | 第4版での各項目のタイトル(和訳) |
6. Derived Credentials | - | 派生したクレデンシャル |
- | 6. Subscriber Accounts | 加入者アカウント |
- | 6.1. Subscriber Accounts | 加入者アカウント |
- | 6.2. Subscriber Account Access | 加入者アカウントへのアクセス |
- | 6.3. Subscriber Account Lifecycle | 加入者アカウントのライフサイクル |
- | 6.3.1. Subscriber Account Activity | 加入者アカウントの活動 |
- | 6.3.2. Subscriber Account Termination | 加入者アカウントの停止 |
7. Threats and Security Considerations | 7. Threats and Security Considerations | 脅威とセキュリティに関する考慮事項 |
7.1. Threat Mitigation Strategies | 7.1. Threat Mitigation Strategies | 脅威軽減戦略 |
- | 7.2. Collaboration with Adjacent Programs | 隣接プログラムとの連携 |
8. Privacy Considerations | 8. Privacy Considerations | プライバシーに関する考慮事項 |
8.1. Collection and Data Minimization | 8.1. Collection and Data Minimization | 収集とデータの最小化 |
8.1.1. Social Security Numbers | 8.1.1. Social Security Numbers | 社会保障番号 |
8.2. Notice and Consent | 8.2. Notice and Consent | 通知と同意 |
8.3. Processing Limitation | 8.3. Use Limitation | 使用制限 |
8.4. Redress | 8.4. Redress | 是正 |
8.5. Privacy Risk Assessment | 8.5. Privacy Risk Assessment | プライバシーリスク評価 |
8.6. Agency Specific Privacy Compliance | 8.6. Agency-Specific Privacy Compliance | 機関固有のプライバシーコンプライアンス |
NIST SP 800-63A-3 | NIST SP 800-63A-4 ドラフト | 第4版での各項目のタイトル(和訳) |
9. Usability Considerations | 9. Usability Considerations | ユーザビリティに関する考慮事項 |
9.1. General User Experience Considerations During Enrollment and Identity Proofing | 9.1. General User Considerations During Enrollment and Identity Proofing | 登録および身元証明中の一般的なユーザーの考慮事項 |
9.2. Pre-Enrollment Preparation | 9.2. Pre-Enrollment Preparation | 登録前の準備 |
9.3. Enrollment Proofing Session | 9.3. Enrollment and Proofing Session | 登録および証明のセッション |
9.4. Post-Enrollment | 9.4. Post-Enrollment | 登録後 |
- | 10. Equity Considerations | 公平性に関する考慮事項 |
- | 10.1. Equity and Identity Resolution | 公平性と身元特定 |
- | 10.2. Equity and Identity Validation | 公平性と本人確認書類の真正性検証 |
- | 10.3. Equity and Identity Verification | 公平性と身元検証 |
- | 10.4. Equity and User Experience | 公平性とユーザーエクスペリエンス |
10. References | References | 参考文献 |
10.1. General References | General References | 一般的な参考文献 |
10.2. Standards | Standards | 標準 |
10.3. NIST Special Publications | NIST Special Publications | NIST SP |
NIST SP 800-63A-4のドラフトの項目の変更点
全体像を俯瞰した上で、各項目の中身を見ていきます。全ての項目の変更は記載しきれないため、ここでは第4版ドラフトの章立ての中で、重要な説明または新設された箇所を中心に取り上げていきます。
第2章(イントロダクション)
2.1.(身元確認に期待される結果)
2.1.(身元確認に期待される結果)では、身元確認に期待される結果として、第4版ドラフトから不正防止が追加されています。この変更は、攻撃手段の高度化・多様化に伴い、サービスにおける身元確認を不正に侵害し、金銭的な被害が発生している事例が増加しているため、対策を求めるようになったことが背景にあると推察します。
2.2.(身元確認保証レベル)
2.2.(身元確認保証レベル)では、第4版ドラフトでIAL0(身元確認無し)が新しく追加されています。また、第3版で定義されていた旧IAL1と旧IAL2は、それぞれIAL0とIAL1、2に相当すると伺えます。第4版ドラフトでの各IALの定義は以下の通りです。
NIST SP 800-63A-3 IAL | 第3版における各IALの要件 | NIST SP 800-63A-4 ドラフト IAL | 第4版ドラフトにおける各IALの要件 |
IAL1 | 身元確認は不要 | IAL0 | 身元確認は不要 |
属性は自己申告 | 属性は自己申告 | ||
申請者が現実世界に存在することを確認する必要はない | 申請者が現実世界に存在することを確認する必要はない | ||
IAL2 | 対面もしくはリモートでの身元確認が必要 | IAL1 | 対面もしくはリモートでの身元確認が必要 |
属性は本人確認書類から収集し、信頼できる情報源で検証する | 属性は本人確認書類から収集し、信頼できる情報源で検証する | ||
申請者の実在確認は、登録コードor顔写真との物理的比較or生体情報比較をもって行う | 申請者の実在確認は、登録コードor顔写真との物理的比較or生体情報比較or AAL1/FAL1でのデジタル本人確認書類へのアクセスをもって行う | ||
IAL2 | 対面もしくはリモートでの身元確認が必要 | ||
属性は本人確認書類から収集し、信頼できる情報源で検証する | |||
申請者の実在確認は、顔写真との物理的比較or生体情報比較or AAL2/FAL2でのデジタル本人確認書類へのアクセスをもって行う | |||
IAL3 | 対面もしくは強い監視下リモートでの身元確認が必要 | IAL3 | 対面もしくは強い監視下リモートでの身元確認が必要 |
属性はより強力なタイプの本人確認書類から収集し、より厳密なプロセスで検証する | 属性はより強力なタイプの本人確認書類から収集し、より厳密なプロセスで検証する | ||
申請者の実在確認は、生体情報比較をもって行う | 申請者の実在確認は、生体情報比較or AAL2/FAL2でのデジタル本人確認書類へのアクセスをもって行う |
これは、旧IAL2をIAL1とIAL2に細分化することで、身元確認が求められるサービスの中でも、それぞれのサービスが抱えるリスクに対して、より適したIALを選択できるように見直しがされたものだと思われます。
第4章(身元特定, 本人確認書類の真正性検証, 身元検証)
4.1.(身元確認と登録)
4.1.(身元確認と登録)は、第4版ドラフトから新規で追加された項目です。申請者が身元確認と登録を行う一般的なパターンとしては、申請者の身元証拠と属性が収集された後、特定の集団内で一意に識別し、本人確認書類の真正性検証および身元検証がされると記載されています。また、申請者のユーザビリティやプライバシーを意識して、段階的な属性情報の収集や確認について言及されています。
4.3.(本人確認書類の真正性検証と本人確認証拠の収集)
4.3.(本人確認書類の真正性検証と本人確認証拠の収集)は、第4版ドラフトでは本人確認書類の性質として、物理的な本人確認書類とデジタル本人確認書類についてそれぞれ定義されています。
また、本人確認書類の強度として、第3版では強度が弱い順からUnacceptable、Weak、Fair、Strong、Superiorの5段階定義されていましたが、第4版ドラフトではFair、Strong、Superiorの3段階のみとなっています。第4版ドラフトの本人確認書類の強度の定義について要約すると以下の通りです。
- Fair:関連する人物を一意に特定するための属性(参照番号、顔写真等)を含む
- Strong:Fairの要件に加えて、本人確認書類は送達の確認がされ、関連する人物の顔写真または生体情報を含み、複製を困難にするセキュリティ機能を含む
- Superior:StrongとFairの要件に加えて、本人確認書類を発行する際に視覚的な確認を行い、また本人確認書類に暗号的に署名されたデジタル情報を含む
デジタル本人確認書類は、物理的な本人確認書類を用いた身元確認を、デジタル世界でしやすくする目的で昨今普及されつつあるため、記載が追記されたものと思われます。第3版と比較すると第4版ドラフトでは、現状使われている本人確認書類を踏まえて、本人確認書類の強度が再定義されたものを思われます。
4.4.(身元検証)
4.4.(身元検証)では、身元検証を実施する際の方法について記載されています。第3版ではKnowledge-Based Verification(KBV/知識ベース検証)といった、いわゆる秘密の質問や登録済み属性情報等の本人しか知りえない知識ベースの検証について細かい要件が記載されていましたが、実際正しく運用するのは難しい内容だったために第4版ドラフトでは削除したのではないかと考えられます。代わりに、身元検証方法としてデジタルアカウントコントロールが追加され、下記の5つの手法が定義されています。
- 登録コード:本人確認書類に含まれる住所等へ登録コードを送信し、申請者がそのコードを提示できることもって確認する
- 対面での物理的画像比較:申請者の顔と本人確認書類に含まれる顔写真との物理的な比較
- リモートでの物理的画像比較:申請者の顔もしくは顔画像・動画等と本人確認書類に含まれる顔写真との物理的な比較
- 自動化された生体情報の比較:申請者の生体情報と本人確認書類に含まれる生体情報を、数学的アルゴリズムを使用して比較する
- デジタルアカウントコントロール:認証やサービス連携を通じて、デジタルアカウントが管理下にあることを実証することで、身元確認を行う
デジタルアカウントコントロールは、オンラインの銀行口座などの身元確認済みのアカウントと認証を行い紐づけることで、身元確認を実施したこととするような手法が普及していることを踏まえて、追記されたものだと推察します。
第5章(身元確認保証レベルの要件)
5.1.(一般的な要件)
5.1.(一般的な要件)は、第3版では旧IAL2または旧IAL3相当の身元確認のプロセスで求められる要件について記載されていましたが、第4版ドラフトでは身元確認や登録を行うサービスを運営するCSP(Credential Service Provider)全般に求められる要件について記載されています。
5.1.1.(文書化と記録)
5.1.1.(文書化と記録)では、第3版で記載があった収集・管理する属性とその目的に加えて、CSPの身元確認のステップや本人確認書類を保持していないときの代替手法、不正なアカウントを識別して通知するためのポリシー等について追加で対応するように、より詳細かつ具体的な記載がされています。
5.1.2.(プライバシー要件)
5.1.2.(プライバシー要件)では、第3版から個人情報の取り扱いを変更するたびにリスクアセスメントを行うこと、またリスクアセスメントの定期的なレビューやリスクアセスメントの概要について作成することといった記載が追加されています。
5.1.3.(公平性要件)
5.1.3.(公平性要件)は第4版ドラフトから新規で追加された記載で、身元確認のプロセスにおいて、特定のグループが不利益を被るような技術やプロセスを特定して、公平性の向上を目指すための要件として、公平性のリスク評価やリスク評価のタイミング、リスク評価結果の取り扱い等について記載されています。
その他に、身元確認に成功して申請者に通知するための要件や、生体情報を用いて身元確認を行う際の要件についても新規で追記されています。
5.2.(IAL1)から5.5.(IAL3)
5.2.(IAL1)から5.5.(IAL3)までは第4版ドラフトにおけるIAL1、2、3のより詳細な要件が記載されています。ここでは、それぞれのレベルの違いについて簡単に記載します。IAL1と2では検証要件が異なり、IAL1では登録コード(電子メールや住所宛てに登録コードを送り、申請者が登録コードを入力することで、登録完了とする)による確認が許されていますが、IAL2では物理的画像比較(顔写真の確認等)もしくは自動化された生体情報の比較とAAL2またはFAL2でのデジタルアカウントとの紐づけによる確認が要件となっており、登録コードは許容されません。
IAL2とIAL3を比較すると、IAL2では身元確認の方法として対面またリモートでの確認が要件に記載がありますが、IAL3では対面または監視下リモートでの確認が求められています。証拠要件については、IAL2と比較するとIAL3ではより多くの証拠を収集するように求められています。検証要件では、IAL2と比較するとIAL3では電子署名の検証を行うことで証拠が改ざんされていないことを確認するように求められています。そして、IAL3ではIAL2ではオプションとなっていた、生体情報(顔画像、指紋等)が必須要件となっています。
第6章(加入者アカウント)
6.(加入者アカウント)
6.(加入者アカウント)は第3版6.クレデンシャルの導出から全面的に改訂が実施されており、身元確認を実施した後に作成する加入者のアカウントについて記載されている章になっています。
6.1.(加入者アカウント)
6.1.(加入者アカウント)では、加入者アカウントには、アカウントを一意に特定するための識別子や、達成した身元確認のIALに関する情報、個人情報の処理・保持・開示に関する同意、アカウントに紐づいている認証器等の情報が必要になることが明記されており、またCSPでも、身元確認のプロセスで収集された本人確認書類や属性情報を保持するように記載があります。
6.2.(加入者アカウントアクセス)
6.2.(加入者アカウントアクセス)では、個人情報を含むアカウントを保護するために、AAL2またはAAL3でアカウントを認証する手段を提供するように明記されています。
6.3.(加入アカウントのライフサイクル)
6.3.(加入アカウントのライフサイクル)では、アカウントの終了要件として、アカウントが侵害された場合やポリシー違反、ポリシーに定める非アクティブ期間があった場合は、アカウントの削除とアカウントに紐づく個人情報や記録を廃棄要件に従って削除するように記載があります。
第10章(公平性への考慮事項)
10.(公平性への考慮事項)
10.(公平性への考慮事項)は、第4版ドラフトから新設された章で、CSPに対して身元確認における特定の個人の不公正のリスクの評価指針およびそのリスク緩和策の指針について記載されています。
10.1.(公平性と身元特定)
10.1.(公平性と身元特定)では身元特定における不公平(名前形式やコア属性の変更)、10.2.(公平性と本人確認書類の真正性検証)では本人確認書類の真正性検証における不公平(本人確認書類を持っていない、なりすまし被害の救済等)、10.3(公平性と身元検証)では身元検証における不公正(画像認識技術の問題、宗教上の考慮)についてそれぞれ不公正が発生しうる事例と、そのリスク緩和策が記載されています。
10.4(公平とユーザーエクスペリエンス)
10.4(公平とユーザーエクスペリエンス)では、身元確認のプロセスにおけるユーザビリティの公平性の観点で発生しうる事例とそのリスク緩和策が記載されています。
この章が新設された理由としては、昨今の社会全体の情勢として社会的にマイノリティーな集団(障害を抱える人々、特定の人種など)に対して不利益が生じないように配慮が求められるようになったため、デジタルサービスにおける身元確認においても同様の考慮が必要になったと見受けられます。
NIST SP 800-63A-4のドラフトの変更点を踏まえて
第4版ドラフトへの変化点を読み解くと、社会全体の変化やITサービスを取り巻く環境の変化を踏まえて、プライバシーや公平性へのさらなる考慮や、IAL0追加に伴うIAL細分化、デジタル本人確認書類の追加、CSPが求めている身元確認手段にユーザーが対応できない場合の代替策への考慮等がされていました。
特にデジタルサービスがますます社会における重要なインフラとして機能するようになり、それらを取り巻くリスクが増大しているのに伴い、デジタルアイデンティティにおける身元確認のリスクも同様に増大していうるため、不正防止や自動攻撃への防御の記載内容が追記されているよう見受けられました。
次回は、第3回目として当人認証について読み解いていきます。
NRIセキュアは今回取り上げたデジタルアイデンティティガイドラインを含む様々なガイドラインや各種標準仕様の内容も踏まえつつ、サービスに必要な身元確認の強度の検討やリスクアセスメント、対策立案等のコンサルテーションからコンシューマ向けID管理製品Uni-ID Libraのソリューション提供まで様々な角度からビジネスとセキュリティの強化をご支援します。