本連載の関連記事はこちら
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<全体編>
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<当人認証編>
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<フェデレーション編>
▶「大規模ユーザを管理する顧客ID統合プロジェクト成功の秘訣」をダウンロードする
NIST SP 800-63Aは4つの文書で構成されているNIST SP 800-63のうち、デジタルアイデンティティの登録とその身元確認について記載されている文書です。本文書では登録や認証を行おうとする申請者と実在する人物との関連性について、身元確認をもってある程度の確からしさを保証するための要件について記載されています。
まずは全体を俯瞰するために章立てから変更点を見ていきましょう。NIST SP 800-63A-3とNIST SP 800-63A-4ドラフトのそれぞれで、同じような内容についての箇所は同列に配置しています。また、項目自体が無くなったり追加されたり、項目名が変更されたりした箇所については表に色を付けています。
第3版における4章「IAL*の要件」と5章「身元特定、本人確認書類の検証、身元検証」が、第4版ドラフトではそれぞれ5章と4章になるように構成変更がありました。また第3版の6章「クレデンシャルの導出」の記載が、第4版ドラフトでは削除されて新しく「加入者アカウント」というタイトルで記載されています。そして第4版ドラフトでは10章「公平性に関する考慮事項」が新設されています。
*IAL:身元確認保証レベル
全体像を俯瞰した上で、各項目の中身を見ていきます。全ての項目の変更は記載しきれないため、ここでは第4版ドラフトの章立ての中で、重要な説明または新設された箇所を中心に取り上げていきます。
2.1.(身元確認に期待される結果)では、身元確認に期待される結果として、第4版ドラフトから不正防止が追加されています。この変更は、攻撃手段の高度化・多様化に伴い、サービスにおける身元確認を不正に侵害し、金銭的な被害が発生している事例が増加しているため、対策を求めるようになったことが背景にあると推察します。
2.2.(身元確認保証レベル)では、第4版ドラフトでIAL0(身元確認無し)が新しく追加されています。また、第3版で定義されていた旧IAL1と旧IAL2は、それぞれIAL0とIAL1、2に相当すると伺えます。第4版ドラフトでの各IALの定義は以下の通りです。
| NIST SP 800-63A-3 IAL | 第3版における各IALの要件 | NIST SP 800-63A-4 ドラフト IAL | 第4版ドラフトにおける各IALの要件 |
| IAL1 | 身元確認は不要 | IAL0 | 身元確認は不要 |
| 属性は自己申告 | 属性は自己申告 | ||
| 申請者が現実世界に存在することを確認する必要はない | 申請者が現実世界に存在することを確認する必要はない | ||
| IAL2 | 対面もしくはリモートでの身元確認が必要 | IAL1 | 対面もしくはリモートでの身元確認が必要 |
| 属性は本人確認書類から収集し、信頼できる情報源で検証する | 属性は本人確認書類から収集し、信頼できる情報源で検証する | ||
| 申請者の実在確認は、登録コードor顔写真との物理的比較or生体情報比較をもって行う | 申請者の実在確認は、登録コードor顔写真との物理的比較or生体情報比較or AAL1/FAL1でのデジタル本人確認書類へのアクセスをもって行う | ||
| IAL2 | 対面もしくはリモートでの身元確認が必要 | ||
| 属性は本人確認書類から収集し、信頼できる情報源で検証する | |||
| 申請者の実在確認は、顔写真との物理的比較or生体情報比較or AAL2/FAL2でのデジタル本人確認書類へのアクセスをもって行う | |||
| IAL3 | 対面もしくは強い監視下リモートでの身元確認が必要 | IAL3 | 対面もしくは強い監視下リモートでの身元確認が必要 |
| 属性はより強力なタイプの本人確認書類から収集し、より厳密なプロセスで検証する | 属性はより強力なタイプの本人確認書類から収集し、より厳密なプロセスで検証する | ||
| 申請者の実在確認は、生体情報比較をもって行う | 申請者の実在確認は、生体情報比較or AAL2/FAL2でのデジタル本人確認書類へのアクセスをもって行う |
これは、旧IAL2をIAL1とIAL2に細分化することで、身元確認が求められるサービスの中でも、それぞれのサービスが抱えるリスクに対して、より適したIALを選択できるように見直しがされたものだと思われます。
4.1.(身元確認と登録)は、第4版ドラフトから新規で追加された項目です。申請者が身元確認と登録を行う一般的なパターンとしては、申請者の身元証拠と属性が収集された後、特定の集団内で一意に識別し、本人確認書類の真正性検証および身元検証がされると記載されています。また、申請者のユーザビリティやプライバシーを意識して、段階的な属性情報の収集や確認について言及されています。
4.3.(本人確認書類の真正性検証と本人確認証拠の収集)は、第4版ドラフトでは本人確認書類の性質として、物理的な本人確認書類とデジタル本人確認書類についてそれぞれ定義されています。
また、本人確認書類の強度として、第3版では強度が弱い順からUnacceptable、Weak、Fair、Strong、Superiorの5段階定義されていましたが、第4版ドラフトではFair、Strong、Superiorの3段階のみとなっています。第4版ドラフトの本人確認書類の強度の定義について要約すると以下の通りです。
デジタル本人確認書類は、物理的な本人確認書類を用いた身元確認を、デジタル世界でしやすくする目的で昨今普及されつつあるため、記載が追記されたものと思われます。第3版と比較すると第4版ドラフトでは、現状使われている本人確認書類を踏まえて、本人確認書類の強度が再定義されたものを思われます。
4.4.(身元検証)では、身元検証を実施する際の方法について記載されています。第3版ではKnowledge-Based Verification(KBV/知識ベース検証)といった、いわゆる秘密の質問や登録済み属性情報等の本人しか知りえない知識ベースの検証について細かい要件が記載されていましたが、実際正しく運用するのは難しい内容だったために第4版ドラフトでは削除したのではないかと考えられます。代わりに、身元検証方法としてデジタルアカウントコントロールが追加され、下記の5つの手法が定義されています。
デジタルアカウントコントロールは、オンラインの銀行口座などの身元確認済みのアカウントと認証を行い紐づけることで、身元確認を実施したこととするような手法が普及していることを踏まえて、追記されたものだと推察します。
5.1.(一般的な要件)は、第3版では旧IAL2または旧IAL3相当の身元確認のプロセスで求められる要件について記載されていましたが、第4版ドラフトでは身元確認や登録を行うサービスを運営するCSP(Credential Service Provider)全般に求められる要件について記載されています。
5.1.1.(文書化と記録)では、第3版で記載があった収集・管理する属性とその目的に加えて、CSPの身元確認のステップや本人確認書類を保持していないときの代替手法、不正なアカウントを識別して通知するためのポリシー等について追加で対応するように、より詳細かつ具体的な記載がされています。
5.1.2.(プライバシー要件)では、第3版から個人情報の取り扱いを変更するたびにリスクアセスメントを行うこと、またリスクアセスメントの定期的なレビューやリスクアセスメントの概要について作成することといった記載が追加されています。
5.1.3.(公平性要件)は第4版ドラフトから新規で追加された記載で、身元確認のプロセスにおいて、特定のグループが不利益を被るような技術やプロセスを特定して、公平性の向上を目指すための要件として、公平性のリスク評価やリスク評価のタイミング、リスク評価結果の取り扱い等について記載されています。
その他に、身元確認に成功して申請者に通知するための要件や、生体情報を用いて身元確認を行う際の要件についても新規で追記されています。
5.2.(IAL1)から5.5.(IAL3)までは第4版ドラフトにおけるIAL1、2、3のより詳細な要件が記載されています。ここでは、それぞれのレベルの違いについて簡単に記載します。IAL1と2では検証要件が異なり、IAL1では登録コード(電子メールや住所宛てに登録コードを送り、申請者が登録コードを入力することで、登録完了とする)による確認が許されていますが、IAL2では物理的画像比較(顔写真の確認等)もしくは自動化された生体情報の比較とAAL2またはFAL2でのデジタルアカウントとの紐づけによる確認が要件となっており、登録コードは許容されません。
IAL2とIAL3を比較すると、IAL2では身元確認の方法として対面またリモートでの確認が要件に記載がありますが、IAL3では対面または監視下リモートでの確認が求められています。証拠要件については、IAL2と比較するとIAL3ではより多くの証拠を収集するように求められています。検証要件では、IAL2と比較するとIAL3では電子署名の検証を行うことで証拠が改ざんされていないことを確認するように求められています。そして、IAL3ではIAL2ではオプションとなっていた、生体情報(顔画像、指紋等)が必須要件となっています。
6.(加入者アカウント)は第3版6.クレデンシャルの導出から全面的に改訂が実施されており、身元確認を実施した後に作成する加入者のアカウントについて記載されている章になっています。
6.1.(加入者アカウント)では、加入者アカウントには、アカウントを一意に特定するための識別子や、達成した身元確認のIALに関する情報、個人情報の処理・保持・開示に関する同意、アカウントに紐づいている認証器等の情報が必要になることが明記されており、またCSPでも、身元確認のプロセスで収集された本人確認書類や属性情報を保持するように記載があります。
6.2.(加入者アカウントアクセス)では、個人情報を含むアカウントを保護するために、AAL2またはAAL3でアカウントを認証する手段を提供するように明記されています。
6.3.(加入アカウントのライフサイクル)では、アカウントの終了要件として、アカウントが侵害された場合やポリシー違反、ポリシーに定める非アクティブ期間があった場合は、アカウントの削除とアカウントに紐づく個人情報や記録を廃棄要件に従って削除するように記載があります。
10.(公平性への考慮事項)は、第4版ドラフトから新設された章で、CSPに対して身元確認における特定の個人の不公正のリスクの評価指針およびそのリスク緩和策の指針について記載されています。
10.1.(公平性と身元特定)では身元特定における不公平(名前形式やコア属性の変更)、10.2.(公平性と本人確認書類の真正性検証)では本人確認書類の真正性検証における不公平(本人確認書類を持っていない、なりすまし被害の救済等)、10.3(公平性と身元検証)では身元検証における不公正(画像認識技術の問題、宗教上の考慮)についてそれぞれ不公正が発生しうる事例と、そのリスク緩和策が記載されています。
10.4(公平とユーザーエクスペリエンス)では、身元確認のプロセスにおけるユーザビリティの公平性の観点で発生しうる事例とそのリスク緩和策が記載されています。
この章が新設された理由としては、昨今の社会全体の情勢として社会的にマイノリティーな集団(障害を抱える人々、特定の人種など)に対して不利益が生じないように配慮が求められるようになったため、デジタルサービスにおける身元確認においても同様の考慮が必要になったと見受けられます。
第4版ドラフトへの変化点を読み解くと、社会全体の変化やITサービスを取り巻く環境の変化を踏まえて、プライバシーや公平性へのさらなる考慮や、IAL0追加に伴うIAL細分化、デジタル本人確認書類の追加、CSPが求めている身元確認手段にユーザーが対応できない場合の代替策への考慮等がされていました。
特にデジタルサービスがますます社会における重要なインフラとして機能するようになり、それらを取り巻くリスクが増大しているのに伴い、デジタルアイデンティティにおける身元確認のリスクも同様に増大していうるため、不正防止や自動攻撃への防御の記載内容が追記されているよう見受けられました。
次回は、第3回目として当人認証について読み解いていきます。
NRIセキュアは今回取り上げたデジタルアイデンティティガイドラインを含む様々なガイドラインや各種標準仕様の内容も踏まえつつ、サービスに必要な身元確認の強度の検討やリスクアセスメント、対策立案等のコンサルテーションからコンシューマ向けID管理製品Uni-ID Libraのソリューション提供まで様々な角度からビジネスとセキュリティの強化をご支援します。