📑

NIST SP 800-63A-4(Draft) 確認してみた

2022/12/21に公開

こんにちは、さみーです。
Digital Identity技術勉強会 #iddance Advent Calendar 2022 の 21日目の記事です。
https://qiita.com/advent-calendar/2022/iddance

みなさま長らく待ち侘びられていたであろう NIST SP 800-63-4 の draftが、先日2022年12月16日にリリースされましたね。

予告されていた通り、ドキュメントの構成自体は変わらず、4部構成のままです。

ということで、今回は ざっくり 63A の 変更点 を確認してみました。

63A-4(Draft) の Change Log

NIST SP 800-63A-4(Draft) の Change Log には、下記の9つが挙げられていました。(勝手に意訳&短縮してます)
それぞれ、以降で詳細確認していきます。

  1. IAL0 の追加
  2. 4章と5章の入れ替え
  3. Evidence の要件追加
  4. Evidence と 属性 の切り離し
  5. コア属性の概念の導入
  6. Credible Source の追加
  7. CSPのプライバシーリスク評価の要件追加
  8. 新しく公平性のリスクについての要件を追加
  9. Trusted Referee と Applicant Reference の要件を追加
NIST SP 800-63A-4(Draft) Change Log の 原文
  1. Adds requirements for a new IAL1 for lower-risk applications
  2. Swaps the content in sections 4 and 5 to facilitate the introduction of identity proofing concepts before providing related requirements
  3. Provides guidance and requirements for characteristics of acceptable identity evidence, including physical documents and digital evidence
  4. Decouples the collection of identity attributes from the collection of identity evidence
  5. Introduces the concept of core attributes
  6. Expands acceptable evidence and attribute validation sources to include credible sources
  7. Adds requirements for CSP-specific privacy risk assessments and considerations for integrating the results into agency PIAs
  8. Adds new guidance and requirements for the consideration of equity risks associated with identity proofing processes
  9. Provides guidance and requirements for the use of Trusted Referees and Applicant References

1. IAL0 の追加

Change Log 中の下記についてです。

Adds requirements for a new IAL1 for lower-risk applications

「リスクの低いアプリケーション向けに新しい IAL1 の要件を追加」とのこと。

2.2. Identity Assurance Levels を確認すると、何の検証も有効性確認も行われないレベルとして No identity proofing (IAL0) が追加されました。

これにより、元の IAL1 が IAL0 になり、元の IAL2 が IAL1 と IAL2 に分割されています。

63A-3 63A-4 ざっくり分類
IAL1 IAL0 検証なし
IAL2 IAL1 検証あり
IAL2 IAL2 生体情報での検証あり
IAL3 IAL3 対面での検証あり

新しい IAL1 と IAL2 の違いは、生体情報をもって Evidence とのバインディングを検証しているか否か、のようです。

IALのレベル分けが実質4分類になり(NIST的には変わらず3分類とのことですが)、同じ IAL1 でも、 63A-3 と 63A-4 で意味するものが異なるようになったため混乱しそうですね。

今後 IAL を扱う際には、 63A-3 での整理のものなのか 63A-4 での整理のものなのか、都度明示するようにしなければならないなと感じました。

2. 4章 と 5章 の入れ替え

Change Log 中の下記についてです。

Swaps the content in sections 4 and 5 to facilitate the introduction of identity proofing concepts before providing related requirements

「4章と5章の内容を入れ替え,要件の前に身元確認(identity proofing)の概念をよりわかりやすく導入」とのことで、63A-3 と章の順番が入れ替わり、63A-4 では下記の順番になっています。

4. Identity Resolution, Validation, and Verification
5. Identity Assurnce Level Requirements

4章は、身元確認のフローや行わなければならないこと、Evidence についての要件が記載されており、5章では CSP の General Requirement(全レベルに共通して必要な要件)、並びに、レベルごとの要件の詳細が記載されています。

入れ替わっただけということではなく、内容の整理もされており、特に 5.1. General Requirements (63A-3 では4.2にあったもの)が、大きく整理&追加されていそうです。

追加された内容は、後述の Change Log の内容確認で登場するのでそちらにて。

3. Evidence の要件追加

Change Log 中の下記についてです。

Provides guidance and requirements for characteristics of acceptable identity evidence, including physical documents and digital evidence

「受け入れ可能な identity evidence (物理,デジタル) の特性に関するガイダンスと要件を提供」とのことで、どのようなものが Evidence として使うことが可能なのか、物理とデジタルそれぞれ下記に内容が追加されています。

  • 4.3.1. Characteristics of Acceptable Physical Evidence
  • 4.3.2. Characteristics of Acceptable Digital Evidence

物理的に存在する Evidence のみでなく、デジタルの Evidence についても明記されており、mDL や VC、Federate により提示された Assertion などを Evidence として扱う際の拠り所となりそうです。

4. Evidence と 属性 の切り離し

Change Log 中の下記についてです。

Decouples the collection of identity attributes from the collection of identity evidence

「identity 属性の収集と、 identity evidence の収集の切り離し」とのことで、 4.3.4. dentity Evidence and Attribute Validation にて、Evidenceに対する要件 4.3.4.1. Evidence Validation と、属性についての要件 4.3.4.2. Attribute Validation が別のセクションになって記載されています。

特記は 4.3.4.2. Attribute Validation の下記でしょうか。

All core attribute, whether obtained from identity ecidence or applicant self-assertion, ...

「Evidenceから取得したか申請者の自己主張から取得したかどうかにかかわらず、すべてのコア属性は...」とのことで、コア属性は必ずしも Evidence から取得しなくてよい、ということが明示されたと感じます。

5. コア属性の概念の導入

Change Log 中の下記についてです。

Introduces the concept of core attributes

「コア属性の概念の導入」とのことで、コア属性という概念が導入されています。
コア属性自体は、63-4 の Appendix.A に下記の通り記載があります。

The set of identity attributes the CSP has determined and documented to be required for identity proofing.

「Credential Service Provider が 身元確認(Identity Proofing)に必要であると判断し文書で明示している,属性情報のセット」のことがコア属性のようです。

具体的にどの属性情報がコア属性になるのかはCSPに異なるため定義はされておらず、コア属性についてどのような検証を行う必要があるかといった要件が 4.3.4.2. Attribute Validation に明示されるようになりました。

6. Credible Sourceの追加

Change Log 中の下記についてです。

Expands acceptable evidence and attribute validation sources to include credible sources

「受け入れ可能な Evidencce と属性の情報源を拡張し、信頼できる情報源(credible source)を追加」とのことです。

63A-3 では、受け入れ可能な情報源として、権威のある情報源(authoritative source)のみが挙げられていましたが、63A-4 では 4.3.4.4. Validation Sources に記載のとおり信頼できる情報源(credible source)も追加されました。

信頼できる情報源(credible source)の要件としては、「権威のある情報源(authoritative source)にたどることができる属性情報にアクセス可能」などが挙げられております。

Federation で 3rd Party からの情報も受け入れ可能にするためだと思われます。

7. CSPのプライバシーリスク評価の要件追加

Change Log 中の下記についてです。

Adds requirements for CSP-specific privacy risk assessments and considerations for integrating the results into agency PIAs

「CSP固有のプライバシーリスク評価要件並びに結果を機関のPIAに統合するための考慮事項の追加」とのことで、63A-3 では 4.2 General Requirements にいくつか記載されていたプライバシーリスク評価要件の内容が、63A-4では 5.1.2. General Privacy Requirements にまとめられています。

内容として大きく追加/修正されたのは、下記2点。

  • 3rd Party が扱うPII(Personally Identifiable Information)についてもリスク評価の対象として追加
  • 2020年1月にリリースされた NIST Privacy Framework の参照が要件として追加

5.1.5 Additional Requirements for Federal Agencies においても、3rd Party の CSP を使う場合の要件が追加されておりました。

63-4 では全体を通して Federation を意識した内容に更新したことに伴うと追加といった印象です。

8. 新しく公平性のリスクについての要件を追加

Change Log 中の下記についてです。

Adds new guidance and requirements for the consideration of equity risks associated with identity proofing processes

「身元証明のプロセスに関連した公平性リスクについての新しい考慮事項の要件とガイダンスを追加」とのことで、5.1.3 General Equity Requirements が追加されています。

5.1. General Requirements の他のセクションは、既存の内容の再整理に内容が追加されたものですが、このセクションはまるまる新規内容として追加されています。

特定の集団(人種など)に対して不公平となるプロセスや技術がないか確認しなさい、あれば、不公平さを軽減させる措置をとりなさい、といったような内容です。

Normative な要件とは切り離した Informative な情報として 10.Equity Considerations に詳細があります。

9. Trusted Referee と Applicant Reference の要件を追加

Change Log 中の下記についてです。

Provides guidance and requirements for the use of Trusted Referees and Applicant References

「Trusted Referees と Applicant References の使用の要件とガイダンスを追加」とのことで、5.1.9 Trusted Referees and Applicant References に記載があります。63A-3 では 5.3.4 Trusted Refree Requirements に記載がありましたが、内容が大幅にアップデートされています。

身元確認のプロセスを自分で完了できなかったり、特定の要件を満たすことができない個人(未成年、障害者、高齢者、ホームレス、被災者など)でも平等にオンラインサービスが利用できるようにするための、Trusted Refree(訓練されて権限を与えられた、CSPの代理人)とApplicant References(要件を満たすために申請者の身元確認に参加する個人)についての説明および、それらの要件が記載されています。

あとがき と 追伸

以上、Change Log に上がっていた内容をざっくり確認してみました。
IALはレベル分けが変わった点が大きいですね。

詳細の内容確認、その他の3つのドキュメントの Change Log の確認、冬休みの宿題としておいおいやっていこうと思います。

では。

Virtual Event

年明け2023年1月12日(木)にはVirtual Eventがあるようですので、気になる方は参加しましょう。

Final化

Final化は、Roadmap: NIST Special Publication 800-63-4 Digital Identity Guidelines を確認する限り、2024年の春〜夏頃のようです。

Discussion