Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
編集可能
2016年11月1日

#idcon vol.22 NIST SP 800-63-3 分割、補完関係へ

1
mixi engineers @mixi_engineers

きょう2016.11.1の渋谷ミクシィ コラボルームでは「#idcon vol.22 ~ NIST SP 800-63-3 分割、補完関係へ。」が19:00から開催されます。お誘い合わせの上どうぞ〜 idcon.connpass.com/event/40861/ #mixi_collabo

2016-11-01 12:48:10
MIZUMOTO, Akinori @letticia

そろそろ #idcon vol.22 に向かわねば。

2016-11-01 17:41:38
👹秋田の猫🐱 @ritou

#idcon 来ていただいても大丈夫です

2016-11-01 18:21:50
Kaoru Maeda 前田 薫 @mad_p

novさん: 今日のゴール SP 800-63-2 からの変更点を知る/-3を前提に様々な施策を考える/-3に対する日本政府としてのスタンスを考える/日本版 SP 800-63を策定する #idcon

2016-11-01 19:03:48
Kaoru Maeda 前田 薫 @mad_p

novさん: 800-63-2まではひとつの文書だったが、-3からは4つの文書に分割された。800-63-3、63A, 63B, 63C #idcon

2016-11-01 19:04:34
Kaoru Maeda 前田 薫 @mad_p

novさん: では SP 800-63-3 4分割のメインの文書について #idcon

2016-11-01 19:06:38
Kaoru Maeda 前田 薫 @mad_p

novさん: LoA (Level of Assurance)を定義する。3つの要素に分解。IAL, AAL, FALそれぞれを63A, B, Cで文書化 #idcon

2016-11-01 19:07:32
Kaoru Maeda 前田 薫 @mad_p

novさん: SP 800-63-2 まではひとつの文書だった。LOA Lv1~4の各レベルの中で要件のカテゴリが5つあった。63-3からは、ひとつのLOAを3つのxALの組み合わせで決定 #idcon

2016-11-01 19:09:18
Kaoru Maeda 前田 薫 @mad_p

novさん: IAL: Identity Proofing (身元確認)の強度。登録時に免許証をチェックしたかなど。Lv1: IP不要、Lv2: リモートまたは対面でのIP、Lv3: 対面でのIPが必要 #idcon

2016-11-01 19:10:18
Kaoru Maeda 前田 薫 @mad_p

novさん: 通常のWebサービスはLv1。Lv2はリモートでもOK、Lv3は対面 #idcon

2016-11-01 19:10:56
Kaoru Maeda 前田 薫 @mad_p

novさん: AAL: Authentication Processの強度を示す。2段階認証、パスワードなどなど。Lv1: single factor、Lv2: 2 factor(2要素目はソフトでもOK)、Lv3: ハードウェアベースの2要素 #idcon

2016-11-01 19:12:11
Kaoru Maeda 前田 薫 @mad_p

novさん: FALで使う用語: Assertion(認証情報+署名)、Artifact(その参照情報のみ。OIDCのcodeなど)、Front/Back-channel presentation。Front=implicit、Back=codeフローなど #idcon

2016-11-01 19:13:36
Kaoru Maeda 前田 薫 @mad_p

novさん: FAL: FederationにおけるAssertion/Artifactの利用形態に関する要件。Lv1: F/B-ch共にAssertionへの署名が必要。Lv2: ~に加えてF-chを利用する場合はAssertionの暗号化 #idcon

2016-11-01 19:15:14
Kaoru Maeda 前田 薫 @mad_p

novさん: Lv3: さらにB-chでも暗号化、Lv4: さらにHolder-of-Key Assertionの利用が必須 #idcon

2016-11-01 19:15:27
Kaoru Maeda 前田 薫 @mad_p

novさん: LOAとのマッピングは2通り。Legacy M-04-04 RequirementsとRecommended M-04-04 Requirements #idcon

2016-11-01 19:16:33
Kaoru Maeda 前田 薫 @mad_p

novさん: RecommendedではLOA2におけるIALは1でも2でもよいなど、許容する方向になっている #idcon

2016-11-01 19:17:31
Kaoru Maeda 前田 薫 @mad_p

novさん: ヘルスケア情報のトラッキング → ユーザーは仮名のまま認証強度を強くしたい → Identity Proofing不要(IAL 1)かつ、多要素認証必須(AAL 2)のLOA3も可能 #idcon

2016-11-01 19:18:30
Kaoru Maeda 前田 薫 @mad_p

novさん: 同じLOA3と言っても、アプリケーションごとに必要なIAL、AAL、FALが変わってくる。各アプリケーションごとにリスクアセスメントしてLOAを定め、xALを定める必要がある #idcon

2016-11-01 19:19:14
Kaoru Maeda 前田 薫 @mad_p

TKさん: 5月か6月ごろ、パスワードの定期変更だけでもり上がった。そのときに翻訳があるといいなと思ったので、よい活動だと思います。 novさん: SMSによる多要素を必須としないなど #idcon

2016-11-01 19:21:07
Kaoru Maeda 前田 薫 @mad_p

novさん: 今回はgithub上でやっているので、変更履歴がコミットログで見やすい。MLは非公開であるが、issueを送るとcontributorになれる #idcon

2016-11-01 19:22:07
Kaoru Maeda 前田 薫 @mad_p

TKさん: NISTの文書なのにgithubでやってるのはすごいな、と思います。日本で○○省がgithub使ったらおおごとだと思います。 novさん: NIST側のリポジトリのREADMEにそれが書いてある。米国外からのフィードバックが欲しい #idcon

2016-11-01 19:23:54
Kaoru Maeda 前田 薫 @mad_p

novさん: ちゃんとしたNISTのレビュープロセスの直前の段階としてやっているそうだ #idcon

2016-11-01 19:23:59
Kaoru Maeda 前田 薫 @mad_p

natさん: 日本もやったらいいと思うが、大変らしい。そもそも政府文書には著作権がないので問題ない。政府の人にgithubの使い方を教えるのがまず大変だったとか #idcon

2016-11-01 19:24:40
残りを読む(86)

コメント

コメントがまだありません。感想を最初に伝えてみませんか?