サイバースペースにおける信頼できるアイデンティティのための国家戦略(NSTIC )は、民間部門、擁護団体、政府機関、その他の組織との協力を通じて、機密性の高いオンライン取引のプライバシー、セキュリティ、利便性を向上させることを目的とした、2011年4月に発表された米国政府の取り組みです。[1]
この戦略は、個人と組織が自身のデジタルアイデンティティと組織およびデバイスのデジタルアイデンティティを識別・認証することで互いに信頼できるオンライン環境を想定していました。[2]この戦略は、個人が開示しなければならない情報量を制限することでプライバシーを保護しながら、より強力な識別と認証を提供すること(ただし義務付けではない)を目的として推進されました。[3]
説明
この戦略は、18 のビジネス グループ、70 の非営利団体および連邦諮問グループを代表する組織を含む民間部門のロビイストからの意見や、一般の人々からの意見や対話に基づいて策定されました。
この戦略には4つの指針があった。[4]
- プライバシー強化と自発的な
- 安全で回復力のある
- 相互運用可能な
- コスト効率が良く、使いやすい。
NSTICは、個人、企業、その他の組織がオンラインで機密性の高い取引を行う際に、より高い信頼とセキュリティを享受できるエコシステムというビジョンを描きました。このような仮想世界では、技術、ポリシー、そして合意された標準によって、匿名取引から完全認証取引まで、また少額取引から高額取引まで、あらゆる取引を安全にサポートすることが可能になります。その実現には、以下の3つの取り組みが含まれます。
- アイデンティティ・エコシステム運営グループ(IDESG)、アイデンティティ・エコシステム・フレームワークを開発する民間主導の組織[5]
- NSTICが指導原則を採り入れ、推進していると述べたパイロットプロジェクトに資金を提供する。[ 6]
- 連邦クラウド資格情報交換(FCCX)[7]は、 FICAMスキームの下で承認された第三者が発行した資格情報を政府機関が受け入れるための米国連邦政府のサービスです。
NSTICは、バラク・オバマ大統領の最初の任期の終わりに近い2011年4月15日に発表されました。 [1]雑誌の記事によると、個人は、銀行取引や健康記録の閲覧などの機密性の高い取引のために安全に身元を確認し、ブログやウェブサーフィンなどの機密性が低い取引では匿名性を維持できる可能性があるとのことでした。[8]
2011年1月、米国商務省は、国立標準技術研究所(NIST)が主導する国家プログラムオフィス(NPO)を設立し、 NSTICの実施を支援しました。[9]連邦政府機関の実施活動を調整するため、NPOはホワイトハウスのサイバーセキュリティコーディネーター(当初はハワード・シュミット氏、2012年以降はマイケル・ダニエル氏)と協力しています。 [10]
運営グループ
NSTICは、そのフレームワークの開発と導入を管理するため、民間主導の運営グループを招集しました。このアイデンティティ・エコシステム運営グループ(IDESG)は、2012年8月15~16日にシカゴで会合を開催しました。 [11]この会合には、195名のメンバーが直接出席し、315名のメンバーがリモートで参加しました。さらに、アリゾナ州フェニックス、[12] 、 カリフォルニア州サンタクララ、[13]、マサチューセッツ州ボストンでも全体会議が開催されました。2012年から2014年にかけて、Trusted Federal Systems, Inc.が助成金を受け、グループの管理機関となりました。[14]
パイロット
連邦政府はパイロットプログラムを開始し、支援しました。2012年には、NSTIC(全米自動車管理局)が初年度にパイロットプロジェクトに900万ドルを交付しました。例えば、米国自動車管理者協会( AMA)は、バージニア州政府による商用IDプロバイダー認証情報の実証実験に取り組んでおり、バージニア州自動車局(VAV)によるオンラインIDの安全な検証も含まれていました。[15] Internet2は研究費として約180万ドルを受け取りました。[15] ID.meは2013年に2年間の助成金を受けました。[16]
NISTが資金提供したさらなる作業については、Trusted Identities GroupのWebページに掲載されています。[17]
連邦クラウド認証情報交換
NSTICは、米国連邦政府機関に対し、NSTICで構想されているアイデンティティ・エコシステムの早期導入を呼びかけました。[7]各機関は、内外に提供するサービスへの導入に苦慮していました。技術的、政策的、そしてコスト的な障壁により、連邦アイデンティティ・認証情報・アクセス管理(FICAM)イニシアチブによって認定されたサードパーティの認証情報プロバイダーを受け入れることは困難でした。[18]
これを受けて、ホワイトハウスはNSTICと一般調達局(GSA)が共同議長を務める連邦クラウド認証情報交換(FCCX)チームを結成しました。このチームは、多数の外部顧客がアプリケーションにアクセスする機関の代表者で構成されていました。2012年11月、米国郵政公社(USPS)がFCCXのパイロット版の管理に選定され、 FIDOアライアンスのメンバーであるSecureKey Technologiesに構築の契約を授与しました。この契約は2015年5月に更新されました。[19] [20]
Connect.gov
Connect.govは、このパイロットプロジェクトの成果として2014年12月に開始されました。Connect.govに対応した米国市民向けID管理サービスを最初に提供した2社は、ID.meとVerizonでした。[21] Ping IdentityとForgerockは、FICAM準拠の認証情報を提供し、民間組織が政府機関に安全に接続できるようにした最初のソフトウェアプラットフォームでした。これは、このプロジェクトの主目的です。[22] [23]
ログイン.gov
2016年5月10日、18Fはブログ記事でConnect.govを置き換えることを発表しました。[24] [25]代替システムはLogin.govと呼ばれ、[26] 2017年4月に開始されました。[27]
アイデンティティエコシステム運営グループ
アイデンティティエコシステム運営グループ(IDESG)は、2010年にNISTから立ち上げ資金を受け取り、それ以来、ウェブサイトで公開されている一連の文書を作成してきました。[28] 2016年には、自己評価のために アイデンティティエコシステムフレームワーク(IDEF)レジストリ[29]を導入しました。
批判
この提案は、2010年6月に草案として発表されて以来、批判を集めてきました。[3] [30]多くの批判は、この提案のプライバシーへの影響に集中しました。
草案発表後まもなく、電子プライバシー情報センター(EPIC)は、他の消費者権利・市民的自由団体と共に、NSTICの政策草案に対する声明を委員会に提出し、インターネット利用者の権利とプライバシーを創出し保護するための、より明確で包括的な計画の策定を求めた。[31] EPICのマーク・ロテンバーグ代表は、NSTICを「歴史的」と評する一方で、「…オンライン・アイデンティティは複雑な問題であり、統合アイデンティティ・システムにおける『サイバー・アイデンティティ盗難』のリスクは非常に現実的である。米国はオンライン・プライバシーの保護のために、より多くの対策を講じる必要がある」と警告した。[32]
NSTICは、2013年に公正情報慣行原則文書を通じて、初期のプライバシーに関する懸念事項に対処しました。[33]その後の取り組みでは、プライバシーの向上を目指しました。例えば、アメリカ自由人権協会(ACLU)と電子フロンティア財団(EFF)は、IDESGのプライバシー委員会に参加しました。
参考文献
- ^ ab 「政権、オンライン消費者の保護とイノベーション支援のための戦略とサイバースペースにおける信頼できるアイデンティティのための国家戦略に関するファクトシートを発表」プレスリリース。ホワイトハウス事務局。2011年4月15日。 2013年11月9日閲覧。
- ^ 「サイバー空間における信頼できるアイデンティティのための国家戦略」(PDF) 2011年4月14日。 2017年9月9日閲覧。
- ^ abc Howard A. Schmidt (2010年6月25日). 「サイバースペースにおける信頼できるアイデンティティのための国家戦略」. whitehouse.gov . 2023年9月5日閲覧–国立公文書館経由.
- ^ 「NSTICの指導原則の遵守 | アイデンティティ・エコシステム運営グループ」。2013年8月15日時点のオリジナルよりアーカイブ。2013年8月16日閲覧。
- ^ “Identity Ecosystem Framework | Identity Ecosystem Steering Group”. 2013年6月29日時点のオリジナルよりアーカイブ。2013年8月16日閲覧。
- ^ Boeckl, Kaitlin (2016年4月29日). 「パイロットプロジェクトとパートナー」. nist.gov . 2016年7月7日時点のオリジナルよりアーカイブ。
- ^ ab 「連邦制度の導入: アイデンティティ・エコシステムの早期導入者としての米国政府 - 私は考える、したがってIAM」。
- ^ Mat Honan (2012年11月15日). 「パスワードを廃止せよ ― 文字列だけではもう私たちを守れない理由」Wired Gadget Lab . 2013年11月9日閲覧。
- ^ 「国家プログラムオフィス、オンライン信頼ID戦略を計画」プレスリリース。NIST。2011年1月19日。 2013年11月10日閲覧。
- ^ 「マイケル・ダニエル:大統領特別補佐官兼サイバーセキュリティコーディネーター」whitehouse.gov . 2013年11月9日閲覧–国立公文書館経由。
- ^ 「アイデンティティ・エコシステム運営グループ | アイデンティティ・エコシステム・フレームワークのポリシー、標準、認定プロセスの開発を管理するために設立」。2013年11月9日時点のオリジナルよりアーカイブ。 2013年8月16日閲覧。
- ^ “2013年2月総会 | アイデンティティ・エコシステム運営グループ”. 2013年8月10日時点のオリジナルよりアーカイブ。2013年8月16日閲覧。
- ^ “2013年5月総会 | アイデンティティ・エコシステム運営グループ”. 2013年8月8日時点のオリジナルよりアーカイブ。2013年8月16日閲覧。
- ^ 「NSTIC、Trusted Federal Systemsをアイデンティティ・エコシステム運営グループの事務局に迎える」NSTICブログ2012年7月12日2013年11月9日閲覧。
- ^ ab 「オンラインセキュリティとプライバシーの促進を目的とした5つのパイロットプロジェクトが助成金を受領」プレスリリース。NIST。2012年9月20日。 2013年11月10日閲覧。
- ^ "NSTIC, ID.me, Inc". www.nist.gov . 米国国立標準技術研究所. 2015年2月21日閲覧。
- ^ 「Trusted Identities Group」。NIST。
- ^ 「FICAMロードマップと実装ガイダンス | IDManagement.gov」。2013年8月19日時点のオリジナルよりアーカイブ。2013年8月16日閲覧。
- ^ 「SecureKey Technologies、米国郵政公社との契約を獲得し、連邦クラウド資格情報交換を実装 - SecureKey」。
- ^ Fontana, John. 「Connect.Gov、連邦政府機関向けID認証プランを強化・拡大 - ZDNet」ZDNet . 2015年5月2日時点のオリジナルよりアーカイブ。
- ^ 「Connect.govはオンラインID管理への賛同を得るための最新の試みです」2014年12月22日。
- ^ Fontana, John (2015年4月30日). 「Connect.Gov、連邦政府機関向けID認証プランを強化・拡大」ZD Net. 2015年5月2日時点のオリジナルよりアーカイブ。 2015年5月6日閲覧。
- ^ ミラー、ジェイソン(2014年12月22日)「Connect.govはオンラインID管理への支持を得るための最新の試み」Federal News Radio 。 2015年5月6日閲覧。
- ^ “18F: デジタルサービス配信 | 最新の共有認証プラットフォームの構築”. 2016年5月10日. 2016年9月24日時点のオリジナルよりアーカイブ。 2017年7月2日閲覧。
- ^ 「連邦政府がConnect.Govを廃止 - SecureIDNews」SecureIDNews . 2017年7月2日閲覧。
- ^ 「Login.GovがConnect.Govに取って代わる - SecureIDNews」SecureIDNews . 2017年7月2日閲覧。
- ^ “18F: デジタルサービス提供 | 政府、公共サービスへのアクセスを簡素化するためlogin.govを開始”. 18f.gsa.gov . 2017年10月2日時点のオリジナルよりアーカイブ。 2018年2月16日閲覧。
- ^ 「アイデンティティエコシステム運営グループ」。
- ^ 「アイデンティティエコシステムフレームワーク(IDEF)レジストリ」。
- ^ ランス・ホイットニー(2010年6月28日)「ホワイトハウス、サイバースペースの安全確保に向けた計画を策定」CNetニュース。 2013年11月9日閲覧。
- ^ Lillie Coney他 (2010年9月23日). 「サイバーセキュリティにおける信頼できるアイデンティティのための国家戦略に関する声明:オンラインセキュリティとプライバシー強化のための選択肢の創出」(PDF) . Privacy Internationalおよび電子プライバシー情報センター. 2013年11月9日閲覧.
- ^ センター。「EPIC - サイバースペースにおける信頼できるアイデンティティのための国家戦略(NSTIC)」epic.org。
- ^ 「付録A – 公正情報慣行原則」(PDF) NSTIC、2013年4月4日。
外部リンク
- 公式サイト [リンク切れ]