2016-2017年でのNIST SP800-63-3改定を通じて、認証を含むデジタルアイデンティティの世界では様々な議論が湧き起こりました。
そんな本ガイドラインの内容を通じて、デジタルアイデンティティフレームワークを考える上での共通言語、特に「認証方法」について記載したNIST SP800-63Bについての理解と体得を試みつつ、議論になったいくつかのテーマについて取り上げて、この領域の面白さに触れてみます。
[rev3]
2022年1月までのアップデートを追加して、個別依頼を受けて実施したプライベートセミナー向けの版をサニタイズしてアップロードしました。〆切ドリブンで改定機会をくださった会社様には感謝です。
主な改定
・SMSへの攻撃としてSS7とSakari/Bandwidth社の事例
・よくある追加認証のトピックス
・アカウントリカバリの文言改善(解釈文書を元に)
・NIST SP 800-63-3 Implementation Resourcesの紹介
・PCI-DSS4.0の状況(外から分かる範囲)
・FIDO&WebAuthn, FIDO Certified Authenticator LevelとHW要件
・Passkeys in iCloud Keychain
・Android Compatibility Definition Document(CDD)
・NIST SP800-63-4の改定状況(外から分かる範囲)と、FIDO AllianceによるNISTに対する興味深いパブコメ
・MSのセキュリティベースラインの変化(修正)
・パスワードレス、パスワード削除
・ドコモ口座事件(外から分かる範囲)とシナリオ別の対策方針例
・Identity Proofing(は語り切る時間がないので一部言及)
・Verifiable Credentialの例にUS運転免許証とワクチン接種証明アプリ採用
[rev2]
正式fix後に話した内容に、2段階認証と2要素認証、Windowsポリシー変更など少し新しい味付けをして再構成し、InternetWeek2018/IWショーケース仙台で話す時に使いました。
[rev1]
OpenID Foundation Japanのコミュニティ活動としてNIST SP800-63-3を翻訳した後、JIPDEC後援でYahoo Japanを借りて実施したイベント向けです。