この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
ICT システム内または ICT システム間の多くの電子トランザクションには、関与するエンティティのアイデンティティに対する理解または指定された信頼レベルに依存するセキュリティ要件があります。このような要件には、アクセス制御メカニズムが使用される可能性のある無許可アクセスに対する資産とリソースの保護、および/または関連イベントの監査ログの維持による説明責任の実施、およびアカウンティングと課金の目的が含まれる場合があります。
この国際規格は、エンティティ認証保証のフレームワークを提供します。この国際規格における保証とは、認証トランザクションで使用するエンティティのアイデンティティを確立および管理するために使用されるプロセス、管理活動、および技術のすべてに置かれる信頼を指します。
図 1 —エンティティ認証保証フレームワークの概要
この国際規格は、指定された 4 つの保証レベル (LoA) を使用して、制御技術、プロセス、および管理活動に関するガイダンスと、4 つの LoA を実装するために認証の脅威を軽減するために使用する必要がある保証基準を提供します。また、他の認証保証スキームを指定された 4 つのレベルにマッピングするためのガイダンス、および認証トランザクションの結果を交換するためのガイダンスも提供します。最後に、この国際規格は、認証プロセスに関連する個人を特定できる情報 (PII) の保護に関する有益なガイダンスを提供します。
この国際規格は、主に、クレデンシャル サービス プロバイダ (CSP) およびそのサービスに関心を持つ他の人々 (たとえば、それらのサービスの信頼者、評価者、および監査人) によって使用されることを意図しています。この Entity Authentication Assurance Framework (EAAF) は、さまざまな CSP によって発行されたクレデンシャル間の同等性を確保するために、4 つの LoA の技術、管理、およびプロセスの最小要件を指定します。また、エンティティ認証の保証に影響を与えるいくつかの追加の管理および組織上の考慮事項も提供しますが、それらの考慮事項の特定の基準は規定していません。 Relying Party (RP) などは、この国際標準が、各 LoA が提供するものを理解するのに役立つと考えるかもしれません。さらに、LoA の技術的要件を定義するために、信頼フレームワーク内で使用するために採用される場合があります。 EAAF は、さまざまな認証テクノロジを使用したセッション ベースおよびドキュメント中心のユース ケースを対象としていますが、これらに限定されません。二国間または連合の法的コンステレーション内で、直接および仲介された信頼シナリオの両方が可能です。
Introduction
Many electronic transactions within or between ICT systems have security requirements which depend upon an understood or specified level of confidence in the identities of the entities involved. Such requirements may include the protection of assets and resources against unauthorized access, for which an access control mechanism might be used, and/or the enforcement of accountability by the maintenance of audit logs of relevant events, as well as for accounting and charging purposes.
This International Standard provides a framework for entity authentication assurance. Assurance within this International Standard refers to the confidence placed in all of the processes, management activities, and technologies used to establish and manage the identity of an entity for use in authentication transactions.
Figure 1—Overview of the Entity Authentication Assurance Framework
Using four specified Levels of Assurance (LoAs), this International Standard provides guidance concerning control technologies, processes, and management activities, as well as assurance criteria that should be used to mitigate authentication threats in order to implement the four LoAs. It also provides guidance for the mapping of other authentication assurance schemes to the specified four levels, as well as guidance for exchanging the results of an authentication transaction. Finally, this International Standard provides informative guidance concerning the protection of personally identifiable information (PII) associated with the authentication process.
This International Standard is intended to be used principally by credential service providers (CSPs) and by others having an interest in their services (e.g., relying parties, assessors and auditors of those services). This Entity Authentication Assurance Framework (EAAF) specifies the minimum technical, management, and process requirements for four LoAs to ensure equivalence among credentials issued by various CSPs. It also provides some additional management and organizational considerations that affect entity authentication assurance, but it does not set forth specific criteria for those considerations. Relying Parties (RPs) and others may find this International Standard helpful to gain an understanding of what each LoA provides. Additionally, it may be adopted for use within a trust framework to define technical requirements for LoAs. The EAAF is intended for, but not limited to, session-based and document-centric use cases using various authentication technologies. Both direct and brokered trust scenarios are possible, within either bilateral or federated legal constellations.