Submit Search
Upload
NIST SP 800-63A #idcon vol.22
•
2 likes
•
1,599 views
Sami Maekawa
Follow
2016/11/01 tue. に開催された #idcon vol.22 @ mixi の資料。 NIST SP 800-63A の概要。
Read less
Read more
Technology
Report
Share
Report
Share
1 of 18
Download now
Download to read offline
Recommended
NIST SP 800-63C - Federation and Assertions (FINAL)
NIST SP 800-63C - Federation and Assertions (FINAL)
Nov Matake
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
OpenID Foundation Japan
金融向けoへの認証の導入
金融向けoへの認証の導入
FIDO Alliance
NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22
Nov Matake
NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22
Nov Matake
アイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connect
Shinichi Tomita
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
Tatsuo Kudo
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
Recommended
NIST SP 800-63C - Federation and Assertions (FINAL)
NIST SP 800-63C - Federation and Assertions (FINAL)
Nov Matake
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
OpenID Foundation Japan
金融向けoへの認証の導入
金融向けoへの認証の導入
FIDO Alliance
NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22
Nov Matake
NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22
Nov Matake
アイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connect
Shinichi Tomita
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
Tatsuo Kudo
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
クラウドサービスの成長とログ基盤の進化
クラウドサービスの成長とログ基盤の進化
Shin'ya Ueoka
170708 firebase勉強会
170708 firebase勉強会
憲弘 山本
SSLの最新トレンド
SSLの最新トレンド
J-Stream Inc.
Shibbolethご説明資料
Shibbolethご説明資料
Masamichi Takahashi
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
Auth0でAWSの認証認可を強化
Auth0でAWSの認証認可を強化
Hideya Furuta
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Yahoo!デベロッパーネットワーク
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
Masahiko Ebisuda
Herokuで動く認証機構の話
Herokuで動く認証機構の話
Shinji Fukumaru
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
junichi anno
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
Hiroshi Tomioka
More Related Content
Similar to NIST SP 800-63A #idcon vol.22
クラウドサービスの成長とログ基盤の進化
クラウドサービスの成長とログ基盤の進化
Shin'ya Ueoka
170708 firebase勉強会
170708 firebase勉強会
憲弘 山本
SSLの最新トレンド
SSLの最新トレンド
J-Stream Inc.
Shibbolethご説明資料
Shibbolethご説明資料
Masamichi Takahashi
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
Auth0でAWSの認証認可を強化
Auth0でAWSの認証認可を強化
Hideya Furuta
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Yahoo!デベロッパーネットワーク
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
Masahiko Ebisuda
Herokuで動く認証機構の話
Herokuで動く認証機構の話
Shinji Fukumaru
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
junichi anno
Similar to NIST SP 800-63A #idcon vol.22
(13)
クラウドサービスの成長とログ基盤の進化
クラウドサービスの成長とログ基盤の進化
170708 firebase勉強会
170708 firebase勉強会
SSLの最新トレンド
SSLの最新トレンド
Shibbolethご説明資料
Shibbolethご説明資料
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Auth0でAWSの認証認可を強化
Auth0でAWSの認証認可を強化
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Owasp Project を使ってみた
Owasp Project を使ってみた
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
AzureActiveDirectoryの認証の話(Azure周りの自動化編)
Herokuで動く認証機構の話
Herokuで動く認証機構の話
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Recently uploaded
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
Hiroshi Tomioka
Recently uploaded
(9)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
NIST SP 800-63A #idcon vol.22
1.
SP 800-63A Enrollment and
Identity Proofing Requirements #idcon vol.22 @ mixi 2016/11/1 tue. Sami Maekawa
2.
SAMI MAEKAWA • 前職
: 某社でシステムエンジニア(2007〜2014) • 現職 : フリーランス エンジニア(2015〜) 、他(2016〜) • ID-WSF / SAML / • OpenID Authentication, AX / • OAuth 1.0 / OAuth 2.0 / • OpenID Connect • ID、認証、セキュリティ • Webアプリケーション開発 • その他 2016/11/2SP 800-63A 2
3.
SP 800-63A Enrollment
and Identity Proofing 登録申請〜登録完了に至るまでのプロセス Identity Assurance Level (IAL)について定義 2016/11/2SP 800-63A 3
4.
IDENTITY PROOFING JOURNEY 登録申請〜登録完了に至るまでのプロセス
5.
IDENTITY PROOFING JOURNEY 5
6.
IDENTITY PROOFING JOURNEY 申請者 CSP 6 登録申請 身分証 信頼できる機関 = Credential Hello,
Alice! Credential Alice
7.
IALに関係するところ CSP 7 信頼できる機関 = Alice 申請者 登録申請 身分証 Credential 5 身分証の 検証 アカウント 情報の検証 実在確認 1 6 2 収集する 属性情報 連絡先 3 身分証の 種類
8.
IDENTITY ASSURANCE LEVEL
(IAL) IAL 1,IAL 2,IAL 3 の要件
9.
各レベルの要件 要件 IAL 1
IAL 2 IAL 3 実在確認 必要 なし 対面あるいはリモートで確認 対面で確認 収集する 属性情報 必要 なし 一意に識別するために必要な最低限の情 報のみに限定. 追加でKBVを利用しても良い. IAL 2と同様. ただし生体情報必須 身分証の 種類 必要 なし • STRONG 2つ • STRONG 1つ + ADEQUATE 2つ • SUPERIOT 1つ + STRONG 1つ • STRONG 2つ + ADEQUATE 1つ 身分証の 検証 必要 なし 提示された身分証と同じ強度の検証 を実施 IAL 2と同じ アカウント 情報の検証 必要 なし STRONG以上 SUPERIOR以上 連絡先 必要 なし • 自己申告の連絡先は利用しない • 身分証から取得した連絡先を利用 • 実在確認をリモートで行う場合は登録 コードの送付&確認を本登録前に実施 • 自己申告の連絡先は利 用しない • 身分証から取得した連 絡先を利用 9 1 2 3 4 5 6
10.
新しい定義:強度(SCORE) 受入不可 UNACCEPTABLE
弱い WEAK 適切 ADEQUATE 強力 STRONG 上級 SUPERIOR 3 4 5 強度:低い 強度:高い
11.
証明書類の種類 No. 種類の要件 受入不可 UNACCEPTABLE 弱い WEAK 適切 ADEQUATE 強力 STRONG 上級 SUPERIOR 1
発行時の身元確認なし ✔ ✔ - - - 2 発行時、身元確認済 - - ✔ ✔ ✔ 3 身元確認は鑑査済み手順書に従っている - - - ✔ ✔ 4 視覚的な身元確認を行っている - - - - ✔ 5 連絡先確認済 & 識別番号記載あり - ✔ ✔ ✔ ✔ 6 KBVで認証可能 - - OR - - 7 写真 or 画像を含む - - OR OR ✔ 8 生体情報を含む - - OR OR ✔ 9 暗号化あり & 複製困難 & 有効期限内 - - ✔ ✔ ✔ 10 実名記載あり - - - ✔ ✔ 11 3 2016/11/2SP 800-63A
12.
証明書類の検証 No. 種類の要件 受入不可 UNACCEPTABLE 弱い WEAK 適切 ADEQUATE 強力 STRONG 上級 SUPERIOR 1
検証失敗 ✔ - - - - 2 信頼機関が発行 or 内容が一致 - ✔ OR ✔ ✔ 3 改ざんされていないことを物理的に検証 - - OR OR ✔ 4 熟練した職人が確認 - - OR OR ✔ 5 暗号機能を検証 - - OR OR ✔ 12 2016/11/2SP 800-63A 4
13.
アカウント情報の検証 No. 種類の要件 受入不可 UNACCEPTABLE 弱い WEAK 適切 ADEQUATE 強力 STRONG 上級 SUPERIOR 1
未検証 or 検証失敗、証明不可 ✔ - - - - 2 対象アカウントのサポートは可能 - ✔ - - - 3 KBVで認証済 - - OR - - 4 物理的に認証済 - - OR OR - 5 生体認証済 - - OR OR ✔ 6 SP 800-63B 5.2.3 の要件を満たす - - - ✔ ✔ 13 2016/11/2SP 800-63A 5
14.
SECURITY 存在する脅威や攻撃と、その対処法
15.
存在する脅威 CSP 15 信頼できる機関 = Alice 申請者 登録申請 身分証 Credential 1 3 漏えい 改ざん 偽装 他者の不正利用 登録の否認 不正発行 2 4 Social Engineering 5
16.
攻撃例と対策 脅威 攻撃例 低減策 登 録 時 の 攻 撃 偽装
偽造した運転免許証で 登録申請 物理的な検証を実施 他者の 不正利用 他人のパスポートで登 録申請 信頼機関の情報と突合 生体情報の検証 登録の否認 登録済みユーザが登録 していないと主張 署名をもらう Social engineering 他者を操作して登録 重複レコードの存在確認 発 行 時 の 攻 撃 漏えい Authenticatorを盗ま れる 発行はCSP自身で行う 密封して確実な住所に物理的に送付 保護されたセッションで電子的に送付 改ざん Authenticator を変更 される 密封して確実な住所に物理的に送付 保護されたセッションで電子的に送付 ユーザが発行元検証を行えるようにする 不正発行 / Social engineering 他者にクレデンシャルを 渡してしまう 受取者が申請者と同一であることを確認 複数の独立した人物の介在が必要な複数 制御な発行方法にする 16 1 2 3 5 4 5
17.
以上、 何回もある認証時も大事だけど、 1回しかない登録時のことも忘れないでね!
18.
ご清聴ありがとうございました。 Sami Maekawa sami.maekawa@gmail.com @sami_mkw_
Download now