SP 800-63
このガイドラインは、行政管理予算局(Office of Management and Budget、以下、OMB )の通達(Circular)A-130の第8b(3)項「政府機関の情報システムの保護(Securing Agency Information Systems)」の要求事項と一致しており、同文書の附録IV「重要部門の分析(Analysis of Key Sections)」で分析されているとおりです。補足情報は、A-130の附録IIIに記載されています。
本ガイドラインは、連邦政府機関において電子認証を実装する際の技術的な指針を提供するものです。また、非政府組織においても自由に使えるもので、FBCA(Federal Bridge Certificate Authority)との連接を行う場合には必須の基準となっています。本ガイドラインでは、公衆ネットワークを経由したユーザのリモート認証について説明されており、身元識別情報の検証、登録、トークン、認証プロトコル、および関連するアサーションの分野における4つの保証レベルについて、それぞれの技術的な要求事項を規定しています。
電子認証は、電子的な手段によって情報システムに提示されるユーザ身元識別 情報の信用を確立するプロセスです。このプロセスにおいて、電子政府や電子商取引を目的として、ネットワーク経由で個人をリモートより認証する必要がある場合、電子認証には技術的に困難な課題が伴います。
本ガイドラインは、連邦政府機関の職員が連邦のITシステムに対して各自の身元をリモートで証明できるようにするための、技術的な指針を提供するものです。本指針では、秘密情報に基づいたリモート認証を行うために従来から広く実装されている手段のみを対象とします。認証対象となる個人はこれらの手段を通じて、自分がなんらかの秘密情報を知っていることまたは所持していることを証明します。NISTでは、ほかのリモート認証手段についても調査し、それらのリモート認証手段の使用に関する指針を作成することも検討されています。
<以下、以前のバージョンに基づいた解説>(2017年に従来のドキュメントを3に分割する体系的な見直しが行われている)
本ガイドラインはOMBのガイダンスである『E-Authentication Guidance for Federal Agencies』[OMB 04-04]を補足するものである。このOMBガイダンスでは、認証エラーとクレデンシャルの誤用によって生じる結果に応じた、レベル1~4の4つの認証レベルを定義している。レベル1は最低の保証レベルであり、レベル4は最高の保証レベルである。このOMBガイダンスでは、認証エラーによって生じる可能性が高い結果に応じて、必要となる認証保証レベルを定めている。認証エラーによって生じる結果が深刻であるほど、必要となる保証レベルが高くなる。また、このOMBガイダンスでは、具体的な応用事例やトランザクションに必要な電子認証の保証レベルを決定するための基準を提供している。この基準は、応用事例やトランザクションのリスクとそれが発生する可能性に基づく。
レベル1:レベル1では、平文のパスワードや秘密情報はネットワーク経由で送信されない。ただし、このレベルでは盗聴者によるオフライン攻撃を阻止する暗号手段は要求されていない。たとえば、単純な、パスワードに基づくchallenge-response プロトコルが許される。多くの場合、そのようなプロトコルによるやり取りを傍受した盗聴者は、単純な辞書攻撃によりパスワードを知ることが可能である。
レベル2:レベル2では、単一要素によるリモートネットワーク認証を提供する。レベル2では、身元識別情報の検証に関する要求事項が導入され、識別のための有形物または情報の提示が求められる。レベル2では広範な認証技術を利用することが可能であり、レベル3または4のどのトークン手法も利用できるほか、パスワードやPIN も利用できる。認証要求者が認証に成功するには、セキュアな認証プロトコルを通じて、認証要求者本人がトークンを管理していることを証明する必要がある。盗聴、リプレイ攻撃、およびオンライン推測攻撃が阻止される。
レベル3:レベル3では、複数要素によるリモートネットワーク認証を提供する。このレベルでは、身元識別情報の検証手順において、識別のための物または情報を検証することが求められる。レベル3の認証では、暗号化プロトコルを通じて、鍵またはワンタイムパスワードの所持を証明することが基本となる。レベル3の認証では、プロトコルに対する各種の脅威(盗聴、リプレイ攻撃、オンライン推測攻撃、検証者になりすます攻撃(Verifier impersonation attack)、中間者攻撃など)を通じて、一次認証トークン(秘密鍵、プライベート鍵、またはワンタイムパスワード)が危殆化されることを防ぐために、高い強度を持った暗号メカニズムが要求される。2つ以上の認証要素も求められる。使用することができるトークンは、「ソフト」暗号化トークン、「ハード」暗号化トークン、および「ワンタイムパスワード」デバイストークンの3種類である。
レベル4:レベル4は、リモートネットワーク認証について実用上最大限の保証を提供することを目的とする。レベル4の認証では、暗号化プロトコルを通じて鍵の所持を証明することが基本となる。レベル4はレベル3に似ているが、「ハード」暗号化トークンのみが許可され、暗号モジュールの有効性確認に関するFIPS 140-2の要求事項が厳しくなっているほか、認証後の重要なデータ転送をその認証プロセスに結び付けられた鍵を通じて認証しなければならない点がレベル3 と異なる。トークンは、全体としてFIPS 140-2のレベル2以上で有効性が確認されているハードウェア暗号モジュールとし、少なくともFIPS 140-2のレベル3の物理セキュリティを備えたものとする。容易に複製できない物理トークンを要求することにより、また、FIPS 140-2ではレベル2以上のオペレータ認証が要求されるため、このレベルでは適切な2要素によるリモート認証が保証される。
- NIST SP 800-63-3の概要と今回の改訂がもたらす影響 JIPDEC 事務局レポート (2017.10)
- OpenID BizDay#11「NIST SP 800-63-3を読む」より
- 第3版( NIST SP 800-63-3)が2017年6月に正式発表された。このガイドラインは 米国政府のセキュリティ対策での利用を前提にしているが、政府系システムとの接続要件等にも関係してくるため、世界的にも大きな影響を与える可能性がある。既にID管理技術に関する業界団体Kantara Initiativeでは、新規格に合わせた認証スキームの更新が進められている。