電子的認証に関するガイドライン(SP800-63)
発行機関:アメリカ国立標準技術研究所(National Institute of Standards and Technology, NIST)
発行年月日:2006年4月
原文:https://pages.nist.gov/800-63-3/
和訳(IPA):https://www.ipa.go.jp/files/000025342.pdf
概要
NIST SP800 63は認証に関するガイドラインです。SP800 63は以下の3つが含まれています。
SP800-63の要素
SP800-63 | デジタル認証のガイドライン |
SP800-63A | 登録プロセス、身元確認=ユーザ身元確認の確からしさ |
SP800-63B | 認証とライフサイクル管理=ユーザ認証の確からしさ |
SP800-63C | フェデレーションとアサーション=連携方法の確からしさ |
それぞれのガイドラインのAbstractを以下に記載します。
(Google翻訳です。抜粋。)
SP800-63
このガイドラインは、オープンネットワークを介して政府のITシステムとやり取りするユーザー(身元証明およびユーザー(従業員、請負業者、個人など)の認証)を対象としています。それらは、身元証明、登録、オーセンティケータ、管理プロセス、認証プロトコル、フェデレーション、および関連するアサーションの各分野における技術的要件を定義しています。
SP800-63では、アイデンティティ保証レベル(LOA:Levels of Assurance)を以下の3つの要素に分類しています。
- IAL(Identity Assurance Level)・・・SP800-63A
- AAL(Authenticator Assurance Level) ・・・SP800-63B
- FAL(Federation Assurance Level)・・・SP800-63C
SP800-63A
このガイドラインは、デジタル認証で使用するためのIDの登録と検証に焦点を当てています。これの中心となるのが、身元証明と呼ばれるプロセスで、申請者は自分自身を確実に識別しているクレデンシャルサービスプロバイダ(CSP)に証拠を提供し、
それによってCSPは有用な識別保証レベルでその識別を主張できます。このドキュメントは3つのアイデンティティ保証レベルのそれぞれの技術的要件を定義します。
※アカウントの登録申請から登録完了に至るまでのプロセスに関するガイドラインです。
SP800-63B
これらのガイドラインは、オープンネットワーク上で政府システムと対話するサブジェクトの認証に焦点を当てており、特定の申請者が以前に認証されたことがある加入者であることを証明します。認証プロセスの結果は、認証を実行しているシステムによってローカルに使用されるか、または連合アイデンティティシステム内の他の場所でアサートされることがあります。この文書は、3つの認証者保証レベルのそれぞれに対する技術的要件を定義しています。
※登録されているアカウントを使用して認証を行い、その結果の正しさを確認するプロセスのガイドラインです。
SP800-63C
この文書とその関連文書(SP 800-63、SP 800-63A、およびSP 800-63B)は、フェデレーションIDシステムの実装およびフェデレーションで使用されるアサーションに関する技術的および手続き的なガイドラインを機関に提供します。
このガイドラインでは、フェデレーションIDの使用とIDフェデレーションを実装するためのアサーションの使用に焦点を当てています。
フェデレーションにより、特定の資格情報サービスプロバイダが、認証および(オプションで)加入者属性を多数の別々に管理されている信頼者に提供することができます。同様に、依拠当事者は複数の信用証明書サービスプロバイダを使用することができる。
※フェデレーションに関するガイドライン
※用語「Assertion」:認証されたユーザに関する情報を含んだ署名付きデータ