(8/29現在、随時アップデート中です)
NIST SP800-63-4の第2次公開草案(2pd)が1週間前に公開されました。本日(日本時間29日午前1時〜3時)に行われたワークショップは、計画された一連のワークショップの最初のものであり、最初の公開草案以降の最も重要な変更点のいくつかを概説しています。
Introduction and Housekeeping
- ワークショップはNIST特別出版物800-63 改訂4第2次公開草案に関するワークショップは、セッションの録画、スライドの入手可能性、質問のためのQ&A機能の使用など、事務連絡から始まりました。[00:00]
- 本日の議題は以下の通りです:
NIST特別出版物800-63-4の概要
- このワークショップでは、デジタルアイデンティティガイドラインの第2次公開草案に焦点を当て、主要な変更点、パブリックコメント期間、コメントの提出方法について取り上げました。[02:00]
- このガイドラインは、連邦政府全体のデジタルアイデンティティ管理に関する基本的な要件を定めており、基本巻とA巻、B巻、C巻の4巻で構成されています。[05:00]
変更の主要な動機
- 主な動機には、政府サービスへの公平なアクセスの改善、新たな脅威や技術への対応、過去の実装から得られた実世界の教訓の取り込みが含まれます。[07:00]
第1次公開草案における主要な変更点
- 変更点には、リスク管理の刷新、生体認証要件の更新、新しい本人確認プロセス、そしてプライバシー、使いやすさ、公平性に関する考慮事項が含まれていました。[09:00]
タイムラインとパブリックコメント期間
- 改訂プロセスのタイムラインが確認され、2022年12月の第1次公開草案の発行と2023年8月の第2次公開草案の発行が強調されました。第2次草案のパブリックコメント期間は45日間です。[12:00]
Base Volumeの主要な変更
- コニー・ラサール氏は、ユーザー管理型ウォレットモデルの導入(第2章)、アイデンティティリスク管理プロセスにおけるサービス「定義」ステップの追加(第3章)、継続的な評価と改善のためのメトリクスの導入、例外事項が起きたときのリドレスメカニズムについて説明しました。[16:00]
- 特筆すべき点として、IdP(アイデンティティプロバイダー)の変形である利用者管理型ウォレットが導入され、「発行者」がCSP(資格情報サービスプロバイダー)として捉えられるようになりました。
- 更新されたデジタルアイデンティティのリスク管理プロセスには、オンラインサービスの定義、初期影響評価の実施、そして継続的なリスク評価に基づいたコントロールの調整が含まれています。[20:00]
- 継続的な評価と改善が強調されており、推奨されるパフォーマンス指標と、問題を公平に扱うための是正措置が提示されています。[25:00]
Volume A (Identity Proofing and Enrollment)の主要変更点
- デイビッド・タマサク氏は、本人確認の役割と種類の更新、IAL 1(Identity Assurance Level 1)のリバランス、新しいアイデンティティ検証の経路、不正管理要件、および証拠の検証要件の更新について強調しました。[30:00]
- 本人確認の役割には、本人確認エージェント、信頼できる推薦者、プロセスアシスタント、申請者の参考人が含まれるようになりました。[32:00]
- IAL 1のバランス調整は、申請者と資格情報サービスプロバイダーにとっての摩擦の低減と選択肢の増加に焦点を当てています。[35:00]
- AAL 2における新しいアイデンティティ検証の経路には、生体認証を用いないオプションやデジタル証拠の検証が含まれています。[38:00]
- 新しい不正管理セクションには、資格情報サービスプロバイダーと依拠当事者に対する要件、必須の不正チェック、および不正の疑いがあるケースに関するコミュニケーションチャネルが含まれています。たとえば、死亡日の確認は必須になっています。[42:00]
- 更新された証拠検証要件には、文書認証システムのパフォーマンス指標や本人確認エージェントのトレーニングが含まれています。[45:00]
Volume B: Major Changes (Authenticators and Authentication)
- アンディ・リーガンチッド氏は、段階的な改良、同期可能な認証器に関する新たな要件、および利用者管理のデジタルアカウントに関するガイドラインの明確化について説明しました。[50:00]
- 改訂されたアカウント回復セクションでは、アカウント回復プロセスの実装に関してより明確な経路とより高い柔軟性が提供されています。[55:00]
- パスキーのような同期可能な認証器が現在対応されており、同期ファブリック(sync fabric)に関する追加要件が設けられています。[52:00]
- デジタルウォレットを認証器として使用することが明確化され、保存された回復コードや信頼できる回復用連絡先など、新しいアカウント回復方法が導入されました。[57:00]
Volume C (Federation and Assertions)の主要な変更点
- ライアン・ガルーゾ氏は、863 Cの更新された構造、Federation Assurance Level 3(連携保証レベル3)の修正、およびプロトコルベースの例の導入について説明しました。[01:00:00]
- 新しい構造には、核となる共通の連携要件と、汎用IDPフェデレーションおよびユーザー管理型ウォレットフェデレーションのための別個のセクションが含まれています。[01:02:00]
- ウォレットモデルにおいて、ウォレットはIdPとしてモデルすることによって取り扱うことができるのでそのようにした(←コメントが受け入れられて嬉しい。)
- 伝統的なIDPとウォレットとの差として、マルチユーザーかシングルユーザーかで分けている。(←ここはちょっとどうかなと思う。時間の考えも入れたほうが良いのではないか。)
- 3つめの変更点は、Bound Authenticators の導入。連携保証レベル3には、現在、鍵保持者(Holder of Key)のアサーションとバインドされた認証器が含まれています。[01:05:00]
- プロトコルベースの例も追加した。OpenID ConnectやSAMLなどの連携プロトコルを実装するための高レベルな説明を提供しています。(←バックチャンネルを使わなくてもFAL2実現できるというコメントがQ&Aにあった。実際、response type = id_token ではできるはず。iGove WG でFAL2プロファイルとか作るとよいのかもしれない。)[01:08:00]
パブリックコメント期間と次のステップ
- パブリックコメント期間は10月7日に締め切られます。コメントはメールまたはExcelスプレッドシートを使用して提出できます。最終決定までの時間は、受け取ったコメントの量によって変わります。[01:15:00]
- チームは一般からのフィードバックの重要性を強調し、レビュープロセスへの参加を奨励しました。[01:20:00]
- 特に以下の分野についてフィードバックを求めています:
- これが最後のパブリックコンサルテーションとなり、新年に出版が予定されています。
- You can engage through the following channels:
Q&Aセッション
- 文書の誤受入率、生体認証のパフォーマンス、パスキーの使用など、様々な質問に対応しました。[01:25:00]
- チームは特定の要件について説明を行い、参加者からのさらなるコメントやフィードバックを奨励しました。[01:30:00]
閉会の辞
- ワークショップは、コメントの提出と今後のワークショップへの参加を促す呼びかけで締めくくられました。チームは参加者の時間とフィードバックに感謝の意を表しました。[01:35:00]