身元保証
デジタルID認証情報の信頼レベル

フェデレーション ID 管理のコンテキストにおけるID 保証とは、トランザクションを実行するために対話するエンティティ (人間またはマシン) を表す電子認証情報が実際にそのエンティティに属していると信頼できるかどうかを、ある程度の確実性を持って判断する能力です。

エンティティが個人である場合、アイデンティティ保証とは、提示される認証情報が、発行された本人の代理人であり、他者ではないと信頼できるレベルを指します。保証レベル(ALまたはLoA)とは、認証情報に関連付けられた信頼レベルであり、関連するテクノロジー、プロセス、ポリシーおよびプラクティスステートメントによって測定されます。

説明

オンライン環境におけるアイデンティティ保証とは、あるエンティティが特定のアイデンティティについて主張した内容が、実際にその主張者の「真の」アイデンティティであると信頼できるかどうかを、信頼当事者がある程度確実に判断する能力を指します。アイデンティティの主張は、信頼当事者にアイデンティティ認証情報を提示することによって行われます。エンティティが個人である場合、この認証情報は、(a)氏名、住所、生年月日などの個人を特定できる情報、(b) ユーザー名、ログイン識別子(ユーザー名)、メールアドレスなどのアイデンティティプロキシ、(c) X.509デジタル証明書など、いくつかの形式をとる場合があります。

アイデンティティ保証とは、アイデンティティプロバイダが認証情報を依拠当事者に提示することで行うアイデンティティアサーションの確実性の度合いを指します。このアサーションを発行するために、アイデンティティプロバイダはまず、事前定義された認証プロトコルを用いて、申請者が適切なトークンを所有・管理しているかどうかを判断する必要があります。この認証手順の結果に応じて、アイデンティティプロバイダから依拠当事者に返されるアサーションによって、依拠当事者は、認証情報に関連付けられたアイデンティティが実際に認証情報を提示した人物に「属している」と信頼できるかどうかを判断できます。

認証情報を提示する人物の真の身元について、依拠当事者が確信できる度合いは、保証レベル(AL)と呼ばれます。米国国立標準技術研究所(NIST)が2006年に発表した文書では、4つの保証レベルが概説されています。[1] 保証レベルは、身元証明プロセスの強度と厳密さ、身元証明の認証に使用されるトークンの強度、そしてIDプロバイダーがそれに適用する管理プロセスによって測定されます。これらの4つのレベルは、英国、カナダ、米国の政府によって電子政府サービスに採用されています。

目的

オンラインビジネスを運営するには、組織がリモートから確実に本人確認を行う必要があります。しかし、多くの場合、一般的な電子認証情報(通常は基本的なユーザー名とパスワードのペア、またはデジタル証明書)では、「私は自分が言っている通りの人物です。信じてください」と断言するだけでは不十分です。証明書利用者(RP)は、提示された電子ID認証情報が、その認証情報を提示した個人を真に代表するものであることを、ある程度の確信を持って認識できる必要があります。自己発行の認証情報の場合、これは不可能です。しかし、ほとんどの電子ID認証情報は、職場のネットワーク管理者ソーシャルネットワーキングサービス、オンラインゲーム管理者、政府機関、またはデジタル証明書を販売する信頼できる第三者機関などのアイデンティティプロバイダー(IdP)によって発行されます。ほとんどの人は、複数のプロバイダーから複数の認証情報を保有しています。この取引、そしてそこに内在する信頼によって影響を受けるのは、以下の4つの関係者です。

  1. 電子ID認証情報を使用するユーザー、
  2. 電子IDプロバイダー(IdP)が発行する認証情報に依存するエンティティ
  3. IdPサービスのプロバイダーとIdPのビジネスプロセスをレビューする監査人または評価者、および
  4. 証明書利用者(RP)はIdPが提供する電子ID認証情報を信頼する

IdPはそれぞれ異なるポリシーと手順で電子ID認証情報を発行します。ビジネスの世界、特に政府機関では、認証情報の信頼性が高いほど、IDの検証、認証情報の管理、発行される認証情報の種類に関するルールは厳格になります。しかし、IdPがそれぞれ独自のルールに従う一方で、エンドユーザー(加入者と呼ばれることが多い)やオンラインサービス(証明書利用者と呼ばれることが多い)は、既存の認証情報を信頼し、サービスにアクセスするために新たにユーザーID/パスワードやその他の認証情報を発行したくないと考えるようになってきています。ここで、フェデレーションIDの概念が重要になります。フェデレーションIDは、個々のIDサービスプロバイダー、ユーザー、またはネットワークを超越する共通のID信頼規約をIdPと証明書利用者に提供します。これにより、証明書利用者は、IdP「A」が発行した認証情報を、IdP「B」、「C」、「D」も合意する共通基準に匹敵する保証レベルで信頼できると判断できます。

具体的な実装と提案された実装

オーストラリア

オランダ

DigiD は、オランダ政府機関がインターネット上で個人の身元を確認できるシステムであり、政府機関用の一種のデジタルパスポートです。

ポーランド

内務省デジタル省保健省の共同イニシアチブにより、2019年第1四半期から新しいチップIDカードが導入され、10年間かけて既存の身分証明書に取って代わることになる。[2]

イギリス

英国のID保証プログラムであるGOV.UK Verifyは、政府デジタルサービス(GDS)民間のIDプロバイダーと連携して提供しています。GOV.UK Verifyは、中央政府および地方自治体のデジタル変革を支援するための、標準規格に基づいたフェデレーション型ID保証サービスです。このサービスにより、市民はフェデレーション型IDモデルを用いて、政府サービスにサインインする際に本人確認を行うことができます。ユーザーは、認定された様々なプロバイダーからID保証プロバイダーを選択し、1社または複数のプロバイダーに登録することができます。このサービスは2016年5月から稼働しています。[3]

アメリカ合衆国

米国政府は2003年に電子認証連合資格情報評価フレームワーク(CAF)の草案を初めて公表し、2005年3月に最終版を公表した。[4]

カンタライニシアティブのアイデンティティ保証作業グループ (IAWG) は 2009 年に結成されました。このグループは、電子認証パートナーシップの信頼フレームワークと CAF を部分的にベースとしたリバティ アライアンスアイデンティティ保証フレームワークを引き継ぎ、電子認証システム間の相互運用性を実現しました。言語、ビジネス ルール、評価基準、証明書に基づいて、IdP が発行するクレームの品質に関する信頼フレームワークを定義しました。作業はリバティ アライアンス内で 2007 年初頭に開始され、最初の公開ドラフトは 2007 年 11 月に公開され、バージョン 1.1 は 2008 年 6 月にリリースされました。リバティ アライアンス内のアイデンティティ保証専門家グループは、ITU-T (アイデンティティ保証フレームワークの調和と国際標準化に関する X.EAA の ITU-T SG17Q6 対応グループを通じて 2008 年 9 月に作業開始)、ISOC (ISO SC27 29115 アイデンティティ保証フレームワークとの調和、その他貢献) と協力しました。およびアメリカ法曹協会(連合アイデンティティのモデル貿易協定の開発に向けた協力)。

2009年12月に公開されたKantara Initiativeのアイデンティティ保証フレームワーク(IAF)は、フレームワークを市場に提供する保証レベルと認証プログラムを詳細に規定しています。IAFは、概要[5]、IAF用語集、保証レベルの概要[6]、関連する評価および認証プログラムを網羅した保証評価スキーム(AAS)[7] 、そしてサービス評価基準(SAC) [8]を含む一連の文書で構成されています。SACは、すべてのCSPの評価基準となる、組織の一般的な適合性、アイデンティティ証明サービス、認証情報の強度、および認証情報管理サービスのベースライン基準を確立しています。

ウェルズ・ファーゴ[9]やフィデリティ・インベストメンツ[10]など、さまざまな組織からアイデンティティ保証フレームワークの適用に関するプレゼンテーションがいくつか行われており、アエトナ[11]やシティグループ[12]に関するケーススタディも入手可能です。

2009 年、South East Michigan Health Information Exchange (SEMHIE) が Kantara IAF を採用しました。[引用が必要]

ワールドワイドウェブコンソーシアム

分散型識別子 (DID) は、検証可能な分散型デジタル ID を可能にする識別子の一種です。

参照

参考文献

  1. ^ William E. Burr、Donna F. Dodson、W. Timothy Polk(2006年4月)「電子認証ガイドライン」(PDF) . Special Publication 800-63 バージョン1.0.1 . 米国標準技術研究所. doi :10.6028/NIST.SP.800-63v1.0.2 . 2013年11月10日閲覧
  2. ^ “ポーランド人が新しいチップIDカードを持つようになる:報告書”.ザグラニツィのポルスキーラジオ2017 年 12 月 18 日に取得
  3. ^ 「アイデンティティ保証とは? - 政府デジタルサービス」gds.blog.gov.uk . 2014年1月23日. 2020年11月22日閲覧
  4. ^ 「E-Authentication Federation Credential Assessment Framework」(PDF) . Federal CIO Council. 2005年3月16日. 2008年11月15日時点のオリジナル(PDF)からアーカイブ。 2013年11月10日閲覧
  5. ^ http://kantarainitiative.org/confluence/download/attachments/38371432/Kantara+IAF-1000-Overview.pdf [ベア URL PDF ]
  6. ^ http://kantarainitiative.org/confluence/download/attachments/38371432/Kantara+IAF-1200-Levels+of+Assurance.pdf [ベア URL PDF ]
  7. ^ http://kantarainitiative.org/confluence/download/attachments/38371432/Kantara+IAF-1300-Assurance+Assessment+Scheme.pdf [ベア URL PDF ]
  8. ^ http://kantarainitiative.org/confluence/download/attachments/38371432/Kantara+IAF-1400-Service+Assessment+Criteria.pdf [ベア URL PDF ]
  9. ^ Licht, William (2021年11月12日). 「現実世界のアイデンティティ保証:ウェルズ・ファーゴによるアイデンティティ保証原則の実践デモンストレーション」
  10. ^ Licht, William (2021年11月12日). 「Liberty Allianceウェブキャスト:タイトル:概念から現実への旅:アイデンティティ保証の実践」
  11. ^ http://www.projectliberty.org/liberty/content/download/4420/29635/file/Aetna%20IDDY%20liberty%20case%20study%208.08.pdf [永久リンク切れ] [裸のURL PDF ]
  12. ^ http://www.projectliberty.org/liberty/content/download/4423/29647/file/Citi%20IDDY%20liberty%20case%20study%209.08.pdf [永久リンク切れ] [裸のURL PDF ]
「https://en.wikipedia.org/w/index.php?title=Identity_assurance&oldid=1303776608」より取得