デジタル・アイデンティティのセキュリティを考える#3　NIST SP 800-63-3 認証の "レベル"

デジタルビジネスにおいて、サービス提供者側がデジタル・アイデンティティを保護するために必要なセキュリティを考える連載の第3回。今回は、NIST SP 800-63-3 Digital Identity Guidelinesの中の、アイデンティティセキュリティを考えるうえでキーとなると言っても過言ではない、Digital Identity Modelの3フェーズ（Identity、Authenticator、Federation）のそれぞれのレベルについてお話ししていきます。

マイナンバーカードの配布を思い出してみる

みなさまは、マイナンバーカードをお持ちでしょうか？
Digital Identity Modelの3フェーズを理解していただく手がかりとして、マイナンバーカード配布の流れを思い出してみましょう。

マイナンバーを通知する「通知カード」

マイナンバーが書かれた、緑色の「通知カード」を覚えていますか？通知カードは、住民票のある住所に簡易書留で送付されました。これはマイナンバーを確認するだけのものなので、マイナンバーカードを受け取るには、申請＆受け取りをしなくてはいけませんでした。

マイナンバー交付申請

実際のマイナンバーカードを受け取るには、以下いずれかの対応が必要でした。

• オンラインで申請＆対面での受け取り
• 対面での交付申請＆郵送での受け取り

「でした」と過去系にしたのは、通知カードは令和2年5月25日に廃止され、現在はマイナンバーの通知は個人番号通知書を送付する方法により行われているためです。また、交付申請はスマートフォン、パソコン、まちなかの証明写真機、郵便による申請に変わり、受け取りのみ対面となっています。詳しくは下記のサイトをご確認ください。

総務省｜マイナンバー制度とマイナンバーカード｜通知カード (soumu.go.jp)

マイナンバーカード交付申請 - マイナンバーカード総合サイト (kojinbango-card.go.jp)

認証の"レベル"

さて、マイナンバーカードを思い出していただいたところで、本題であるNIST SP 800-63で定められている認証のレベル（IAL、AAL、FAL）について説明します。

Identity Assurance Level（IAL）

ユーザーの身元確認の強さで、IDの認証プロセスを指します。Applicant（アカウント未登録、これから申請しようとしている人）が、登録するときの本人確認（Identity Proofing）の強さを示します。

IAL1	申請者を現実のIDにリンクさせる必要はなく、自己申請での登録でよい。
IAL2	現実世界での存在を裏付ける証拠が必要。つまり、サービス内容により、識別に用いられる属性をリモートまたは対面で確認する必要がある。
IAL3	物理的に存在することIDの証明に必要。対面での確認に加え、有資格者が検証する必要がある。

Authenticator Assurance Level（AAL）（SP 800-63B）

ユーザー認証の強さです。登録済みのユーザー（Claimant）が、ログインするときの認証プロセス（単要素認証or多要素認証、認証の方法）を示します。

AAL1	単要素認証でよい。 例えばパスワードのみ。
AAL2	2つの要素が必要。2つめの要素は、ソフトウェアベースでもよいが、AAL2以上では、承認された暗号化技術が要求される（FIPS140適合）。また2要素目は所有、生体が必要。
AAL3	2つの要素が必要。検証者のなりすましに対する耐性を提供する「ハード」な暗号化認証機（ハードウェアトークン等）が必要。

OktaでAAL2の多要素を実装した例

AAL2は、記載の通り「承認された暗号化技術」が必要となります。Oktaでは、AAL2に準拠する設定は何にあたるのか、認証ポリシー設定画面に記載されています。

OktaでAAL3のサンプルとして、Yubikeyで実装した例

今回は、YubiKey 5C NFC USB-Cを利用しました。

Federation Assurance Level（FAL）

連携方式（フェデレーション）の確さで、フェデレーション（Open ID Connect、OAuth、SAML）する際のデータのやりとりの強さを示します。フェデレーションは、複数のインターネットサービス間のユーザー認証連携という意味です。すべてのシステムがフェデレーションを利用するわけではないので、FALは任意となります。

FAL1	IdPは、承認された暗号を使用してアサーション（RPに送るIdPでの認証結果データ）に署名を必要とする。
FAL2	FAL1の署名に加え、対象RPが唯一複合化できること。
FAL3	FAL2に加え、Holder-of-Key アサーションの利用（ユーザーごとの鍵とIdPが発行したアサーションを紐づけてRPに送り、RPはユーザーがそのアサーションに紐づいた鍵を持っている（ユーザーの正当性）を確認）を必要とする。

マイナンバーカードのIALは？

マイナンバーカードは、本人を確認するためのものなので、マイナンバーカード発行の流れをIALに沿って考えてみましょう。
緑色の「通知カード」は、住民票を有するすべての住民に対し、簡易書留により郵送されました。住所に対して郵送されている、つまり「現実世界での存在を裏付け、リモートでの確認」をしていますので、IAL2となります。

実際のマイナンバーカードを受け取るには、「オンラインで申請＆対面での受け取り」か「対面での交付申請＆郵送での受け取り」のいずれかを選択可能でした。つまり、対面での対処が含まれることで「物理的に存在することを証明」しているので、IAL3となります。

IALのレベルについて、マイナンバーカードを例にして説明しました。そもそも、通知カードは勝手に送られてくるので「申請」という手順がない、つまりApplicantが存在しないこともあり、差異があります。あくまでイメージとしてご認識ください。

IAL、AAL、FALの選定

各フェーズで、どのレベルを選定すればよいかは、SP 800-63-3では、レベル選定のチャートが提供されています。選定したあとは、要件を満たす実装をしていきます。

最後に

マイナンバーカードではIAL3のレベルを実現できていますが、金融機関で使われることが多い、オンラインで本人確認を完結させる「eKYC（electronic Know Your Customer）」は対面での確認はないためIAL2となります。

IAL3のレベルをシステム的に実装しているのは、社内システムくらいではないでしょうか。採用面接から入社までのプロセスの中で、何かしらのタイミングで対面での確認がされてきました。しかし、リモートワークが一般的になり、一度も会わずに面接から採用に至るという例も増えてきています。社員は当たり前のようにIAL3でしたが、会わない中でIAL3を維持してよいのかも考えていく必要があります。AALに関しては、すべてのアプリケーションに対して、多要素をかけてセキュリティを高めるのはユーザービリティを損なうことになります。また、デバイス紛失時の連絡手段を失うことにもなります。

何か事故があると、どうしてもセキュリティを厳しくしていくことを考えてしまいますが、ユーザービリティとセキュリティのバランスが大切です。守るべき情報資産は何か、何が発生したら企業として致命的かを考えながら、デジタル推進をしていただけますと幸いです。次回は、NIST SP 800-63-Bのライフサイクル管理についてお話ししていく予定です。