NIST SP800-63-4 アップデート内容と関連動向について

Transcript

1. 2026年2月20日 NIST SP800-63-4 アップデート内容と関連動向について OpenID BizDay #19 株式会社野村総合研究所 デジタルトラスト基盤事業本部 IDソリューション事業部

   塩澤 大輝

2. 1 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   簡単な自己紹介 ◼塩澤 大輝(Shiozawa Daiki) ◼略歴 ⚫ 新卒で株式会社野村総合研究所に入社 ⚫ 同年、NRIセキュアテクノロジーズ株式会社に出向。システムエンジニアとしてCIAM製品の導入、設計開発、運 用保守等に従事 ⚫ 2025年度より株式会社野村総合研究所に異動、デジタルアイデンティティやAI Agentに係る業務に従事 OpenID BizDay #19

3. 2 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   本日のアジェンダ 1. NIST SP800-63の概要と更新経緯 2. 3版から4版の主要な更新内容 1. ベース 2. A 身元確認 3. B 当人認証 4. C フェデレーション 3. 第4版2pd から finalにおける主要な更新箇所について OpenID BizDay #19

4. 3 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   NIST SP800-63は米国連邦政府機関向けのデジタルアイデンティティに係るガイドライン 米国連邦政府機関以外の様々な組織などでも参照されている ◼ 全体概要のベース、身元確認のA、当人認証のB、システム間での認証連携（フェデレーション）のCという4つの文書から成り立つ OpenID BizDay #19 ベース Aパート Bパート Cパート 全体概要 デジタルアイデンティティの登録 および身元確認とそれらの保 証レベル デジタルアイデンティティの当人 認証とその保証レベル システム間での認証連携 （フェデレーション）とその保 証レベル

5. 4 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   2025年8月にNIST SP800-63の第4版がfinal化 OpenID BizDay #19 ガイドライン改定のタイムライン 第3版 final 第4版 initial public draft(ipd) 第4版 2nd public draft(2pd) 第4版 final 2017/6 2022/12 2024/8 2025/8 • FIDO2/WebAuthn普及 • COVID-19によるデジタル化推進 • サイバーセキュリティ強化に関する大統領令14028への署名 第3版から8年越しの 第4版final化

6. 5 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   3版から4版の主要な更新内容 – ベース

7. 6 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   ベース：リスクの度合いと条件分岐で保証レベルを選択するというフローは削除された ◼ NIST SP 800-63-3（第3版）にあったようなリスクの度合いと条件分岐で保証レベルを選択するというフローは、第4版では削除された OpenID BizDay #19 NIST SP 800-63-4では削除 ベース

8. 7 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   ベース：5つのステップを基に保証レベルを決定することが明記。 第3版と比較すると継続的な評価と改善が強調された ◼ 第4版ではオンラインサービスを特定、影響（リスク）を基に保証レベル決定、そしてその後の継続的なリスク管理の手法が示された。 OpenID BizDay #19 ステップ１：オンラインサービスを定義 ステップ２：最初の影響評価の実施 各影響カテゴリごとの影響（リスク）レベルを判定 ステップ３：最初の保証レベルの選定 組み合わされた影響レベルを最初のIAL/AAL/FALと対策にマッピング ステップ４：保証レベルの調整と文書化 基礎対策を基に、プライバシー、顧客体験、脅威の評価を実施 最初のIAL/AAL/FALを調整し、補償と補完の対策を選択 オンラインサービスへのアイデンティティ管理の導入／実装／調整 ステップ５：継続的な評価と改善 効果尺度の確立、評価入力の収集、効果測定 ベース 本プロセスの実施は 知見・経験が一定必要であり、 NISTのみで最適解を出すのは難しい ただ、Kantara Initiative が KIAF に第4版を取り込み中であり Kantaraによる第三者評価による、 各保証レベルの妥当性が評価可能になるか

9. 8 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   参考）NIST、 KIAF（Kantara Initiative）、 FICAMの関係性 ◼ ①Kantara InitiativeはNIST等のデジタルアイデンティティに係る要求に準拠できていることを審査・格付けするための業界団体 NIST等を基に文書群であるKIAF(評価基準書のSAC等)を作成、企業がNIST準拠していることを第三者の立場で評価する ◼ ②FICAMはNIST等が作成した要求を基に、米政府内でどのように実装・運用するかを定めた実践的なフレームワーク OpenID BizDay #19 FICAM NIST KIAF (Kantara Initiative) 米国政府機関 が策定する技術仕様 米政府内でどのように実装・運用するかを定めた 実践的なフレームワーク NIST等のデジタルアイデンティティ分野の要求に 準拠しているかを審査・格付けするための業界団体 独自の評価基準を作成 FICAM：Federal Identity, Credential, and Access Management ① ② ベース KIAF : Kantara Identity Assurance Framework SAC : Service Assessment Criteria

10. 9 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    ベース：デジタルアイデンティティのリスクを考える観点として、顧客体験(Customer Experience)が追加 ◼ 第3版ではセキュリティ、プライバシーが中心であったが、第4版ipdにて公平性(Equity)とUsabilityが追加された ◼ また、第4版finalでは、公平性(Equity)とUsabilityの概念が再整理され、「顧客体験(Customer Experience)」に統合された OpenID BizDay #19 第3版 final Security Privacy 第4版 ipd Security Privacy 第4版 final Security Privacy Equity Usability Customer Experience 顧客体験に係る要素が追加されたことで システム中心から人間中心な考えへの変容がみられる ベース Equity（公平性）とは？ バイデン大統領により発令された 大統領令13985に基づいて、 人種や障がい、少数派の宗教等と いった利用者そのものへの配慮を行 うことが記載された

11. 10 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    3版から4版の主要な更新内容 – A身元確認

12. 11 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    身元確認：IALの要件においては緩和と厳格化の両面があった OpenID BizDay #19 ◼ 第3版でのIAL1に相当する身元確認無しは「レベルとして規定しない」として厳格化された ◼ 各IALで要求される証拠の数は全般的に少なくなり、証拠の数だけの観点では第3版に比べると緩和がなされた。 ◼ IAL3では、監視下の遠隔が削除され、対面有人(CSP管理のキオスク端末等利用含む)のみになり厳格化された SP 800-63A-3 SP 800-63A-4 IAL1 身元確認無し ー （レベルとして規定されず） IAL2 • 対面有人もしくは非監視下の遠隔 • 一つの優秀ないし強力な証拠か、二つの強力な証拠か、一つの強 力な証拠と二つの普通の証拠 IAL1 • 対面／非対面での有人／無人 • 一つの普通（デジタル検証可能か顔画像など 生体情報入り）／強力／優秀な証拠 IAL2 • 対面／非対面での有人／無人 • 一つの強力な証拠と一つの普通の証拠か、 二つの強力な証拠か、 一つの優秀な証拠 IAL3 • 対面有人もしくは監視下の遠隔 • 二つの優秀な証拠か、一つの優秀な証拠と一つの強力な証拠か、 二つの強力な証拠と一つの普通の証拠 • 生体収集 IAL3 • 対面有人のみ(CSP管理のキオスク端末等利用含む) • 一つの優秀な証拠か、一つの強力な証拠と一つの普通の証拠 か、二つの強力な証拠か • コア属性に加えて生体サンプルの収集 許容される身元確認方法と証拠 A身元確認

13. 12 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    身元確認に係る動向 OpenID BizDay #19 ◼ 2027年4月予定の犯罪収益移転防止法にて、ホ方式（本人確認書類の撮影＋容貌撮影）の廃止、対面によるICチップ読み取りの義務 化が予定されている ◼ 2026年4月予定の携帯電話不正利用防止法にて、オンラインでの身元確認時に本人確認書類の撮影や写し等を用いる方法を廃止、ICチッ プ読み取りの厳格化が予定されている A身元確認 ホ方式廃止 （本人確認書類の撮影＋容貌撮影） 対面によるICチップ読み取りの義務化 廃止予定 提示 ICチップ読み取り 2027/4月施行 犯罪収益移転防止法の変更点 身元確認時のICチップ読み取りが促進される（ユーザも慣れる）ことで、 身元確認時の顧客体験低下が緩和されるか （アカウントリカバリ時等でオンラインでの身元確認が利用しやすくなる？）

14. 13 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    3版から4版の主要な更新内容 – B当人認証

15. 14 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    当人認証：パスキーに係る記載変更が主な更新 ◼ 「検証者詐称」という表現が「フィッシング」に変更。AAL2でフィッシング耐性を持つ認証手段の使用推奨、提供は必須になった ◼ FIDO2のような暗号認証手段は第3版では端末とソフトウェアに分かれていたが、第4版では暗号認証に統一されシンプルになった。 ◼ パスキーの普及を踏まえて、同期可能な認証器の要件が明記された ⚫ 同期可能な認証器はAAL2で許可（第3版では、鍵の複製は全面的に禁止） ⚫ AAL3は少なくとも一つの同期されない（エクスポート不可）多要素暗号認証手段があれば満たされることが明快になった ◼ パスワードに係る更新では、定期変更や複雑性の強制は非推奨から禁止へ OpenID BizDay #19 ✓ 検証者詐欺からフィッシング攻撃に表 現が変更 ✓ パスワードの定期変更や複雑性の強制 は非推奨から禁止 ✓ 認証手段の表現がシンプル化 ✓ 同期パスキーがAAL2で許可 ✓ AAL3では、デバイス固定（エクスポート 不可）の要件が明記 より詳細な要件が定義された ✓ WebAuthn仕様で定義されているフラ グの詳細な処理要件が明記 B当人認証 認証手段 パスキー関連要件の追加

16. 15 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    当人認証に係る動向 ◼ 証券業界を中心に各業界において、パスキー導入検討が進んでいる OpenID BizDay #19 2025年10月頃に 金融庁・日本証券業協会が監督指針として、 フィッシングに耐性のある多要素認証の 実装及び必須化 を明記 ログイン、出金、出金先銀行口座の変更など、重要な操作時におけるフィッシングに耐性のある多要 素認証（例：パスキーによる認証、ＰＫＩ（公開鍵基盤）をベースとした認証）の実装及び必須化 （デフォルトとして設定） 「金融商品取引業者等向けの総合的な監督指針 III－２－８－２－２ 主な着眼点」より一部抜粋 出所）金融商品取引業者等向けの総合的な監督指針（III． 監督上の評価項目と諸手続（共通編））：金融庁 証券・金融業界でパスキー導入が昨年度加速 それに伴い、ユーザにパスキーが浸透することで 他業界でも積極的なパスキー活用が進むか B当人認証

17. 16 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    3版から4版の主要な更新内容 – Cフェデレーション

18. 17 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    デジタルアイデンティティウォレットがOIDCやSAMLと同列の重要なフェデレーションプロトコルとして追加された ◼ 第3版からの大きな変更として、デジタルアイデンティティウォレットをIdPとした新しいフェデレーションモデル(Subscriber-Controlled Wallets)が 追加された ⚫ OIDCやSAMLと同列のプロトコルとして定義された ◼ Attribute Bundleという単語が新しく定義された ⚫ CSP（Credential Service Provider）によって作成・署名された、属性値および派生属性値のパッケージ を意味する用語 ⚫ 従来のISO/W3CのVC(Verifiable credential) やmDL等を包含する概念 OpenID BizDay #19 CSP (issuer) Wallet (IdP) RP (Verifier) Attribute Bundle Cフェデレーション 63Cの標準的なフェデレーションプロトコルとFALのマッピング 追加

19. 18 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    フェデレーションに係る動向 ◼ デジタル庁にて、2025年6月にiPhone（Appleウォレット）に入れて利用できるマイナンバーカードの提供を開始 ◼ 2026年秋ごろには、Androidでも同様の機能が利用可能予定（従来機能に属性証明機能が追加） OpenID BizDay #19 出所）「iPhoneのマイナンバーカード」の提供を開始しました マイナンバーカードのウォレット利用がiphoneに加えて、Androidでも実現することで、 今後日本国内においてはデジタルアイデンティティウォレット利用が進むか 2026年秋頃に「Androidのマイナンバーカード」へ刷新します Cフェデレーション

20. 19 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    第4版2pd から finalにおける主要な更新箇所について

21. 20 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    第4版2pd から finalにおける主要な更新箇所について ◼身元確認 A ⚫ 優秀な証拠にマイナンバーカード追加 ⚫ 優秀なデジタル証拠の検証方法が緩和： IAL2における優秀なデジタル証拠（mDL等）はローカル認証とattribute bundleの提示 （スマホ上のウォレット利用を想定）に緩和された（2pdでは、 AAL3 / FAL2 相当の認証が必要） ◼当人認証 B ⚫ 生体認証に関する変更：音声による生体認証の禁止、顔認証に対してプレゼンテーション攻撃検知を必須が明記された ⚫ AAL3にパスキー要件追加：AAL3においては、鍵のエクスポート不可が必須であり、同期パスキーは利用できないことが明記された ⚫ AAL3の認証器要件の緩和：単要素および多要素認証器は、FIPS140 レベル1以上の要件を満たす必要があると記載が緩和（2pdま ではレベル2以上が要求されていた） ◼フェデレーション C ⚫ Subscriber-Controlled Walletsの記載詳細化：ロール（CSP、RP、ウォレット自体）間でのトラスト合意に関する記述が増加 OpenID BizDay #19

22. 21 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    全体まとめ ◼ベースについては、「公平性」と「ユーザビリティ」の観点が統合され、 より高次元の概念である「顧客体験（Customer Experience）」という考え方が追加された ◼身元確認については、IALの要件においては緩和と厳格化の両面があった ◼当人認証については、許容される認証手段がシンプルになり、パスキーに係る記載が追加された ◼フェデレーションについては、デジタルアイデンティティウォレットに関する記載が追加。 OpenID BizDay #19 第4版は第3版と比較すると新技術に係る更新に加え、 サービスの利用者に寄り添う記載が多い
23. None