この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受け取った特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、次の URL を参照してください。 www.iso.org/iso/foreword.html
この文書は、技術委員会 ISO/IEC JTC 1, 情報技術、分科会 SC 27, セキュリティ技術によって作成されました。
導入
自然人の身元証明に関する国際標準が必要であり、他の身元管理標準を参照できます。
国際的な身元証明標準を求める業界および政府組織がますます増えています。この文書は、デジタル経済と社会の目的のための相互運用性とフェデレーション信頼を可能にし、サプライチェーンとグローバルコモンズにわたる国際的なサイバー保証をサポートします。
この文書は、アイデンティティ情報のライフサイクルを含むアイデンティティ管理の一般的なフレームワークを規定する ISO/IEC 24760 シリーズに関連しています。 ISO/IEC 29115 は、エンティティ認証の保証レベルを指定します。これらの標準は主に、登録プロセス後の ID 管理およびアクセス管理システムの発行と運用に関するポリシーと技術標準に焦点を当てています。これらの標準を使用すると、個人の身元証明の標準から恩恵を受けることができます。
この文書は、ISO/IEC 29115 および/または ISO/IEC 24760 シリーズに記載されているような ID 証明を実行するあらゆるエンティティによって使用されることを目的としています。
1 スコープ
この文書:
- 個人の身元証明に関するガイドラインを提供します。
- ID 証明のレベルと、これらのレベルを達成するための要件を指定します。
この文書はアイデンティティ管理システムに適用されます。
2 規範的参照
この文書には規範的な参照はありません。
3 用語、定義、および略語
この文書の目的上、次の用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
応用
被験者 (3.15)の身元 (3.9) 証明に使用される情報が提供されるプロセス
3.2
権威ある証拠
権威ある当事者 (3.3) によって管理される識別属性(3.8) を保持する証拠
注記 1:これは、身元の証拠の 1 つのタイプです。
注記 2:特定の属性を識別するための信頼できる証拠は、別の属性を裏付ける証拠にしかなりえません。
3.3
権威ある政党
識別属性 (3.8) を作成または記録する認識された権利を持ち、直接管理する責任を負うエンティティ。
注記 1:管轄区域および/または業界コミュニティは、権威ある当事者を指名することがあります。そのような当事者は法的規制の対象となる可能性があります。
3.4
コンテクスト
主体(3.15) が存在し、相互作用する境界条件が定義された環境
[出典:ITU-T X.125, 6.20, 修正 — エンティティはサブジェクトに置き換えられました。]
3.5
裏付けとなる証拠
権威ある当事者 (3.3) によって管理されていない識別属性(3.8) を保持する証拠
注記 1:裏付けとなる証拠における識別属性は、権威ある証拠におけるものほど最新または正確ではない可能性があります。
注記 2:これは、身元の証拠の 1 つのタイプです。
注記 3:特定の識別属性の裏付けとなる証拠は、別の識別属性に対する信頼できる証拠となる可能性があります。
3.6
資格情報
主張または主張された 身元 (3.9) および/または資格の証拠として提示されるデータのセット
[出典:ISO/IEC 29115:2013, 3.8, 修正 — 注は削除されました。]
3.7
身元の証拠
EOI
対象 (3.15) が主張されている アイデンティティ (3.9) によって表されているというある程度の信頼性を提供する証拠
3.8
属性の識別
コンテキスト内で サブジェクト (3.15) を 一意に識別するのに役立つ属性
3.9
身元
人物に関連する属性のセット (3.12)
[出典:ISO/IEC 24760‑1:2011, 3.1.2, 修正 - 「エンティティ」が「人」に置き換えられ、メモが削除されました。]
3.10
身元情報
オプションで アイデンティティ内の関連するメタデータを含む属性の値のセット (3.9)
[出典:ISO/IEC 24760‑1:2011, 3.2.4, 修正 — 注は削除されました。]
3.11
本人確認のレベル
LoIP
身元証明で得られる信頼性
3.12
人
人間
3.13
校正情報
身元証明のために収集される情報
3.14
校正パーティー
サブジェクトの身元証明を実行するエンティティ (3.15)
3.15
主題
身元 (3.9) が証明されている人 (3.12)
3.16
サポート属性
身元証明に使用されるが、 識別属性としては使用されない属性 (3.8)
参考文献
| 1 | ISO/IEC 2476, 情報技術 - セキュリティ技術 - ID 管理のフレームワーク |
| 2 | ISO/IEC 29115, 情報技術 - セキュリティ技術 - エンティティ認証保証フレームワーク |
| 3 | 勧告 ITU-TX.125, ベースライン ID 管理の用語と定義 http://www.itu.int/SG-CP/example_docs/ITU-T-REC/ITU-T-REC_E.pdf |
| 4 | 勧告 ITU-TX.125, エンティティ認証保証フレームワーク https://www.itu.int/rec/T-REC-X.1254-201209-I/en |
| 5 | ENISA, SAML v2.0 へのマッピング (行政、企業、国民への欧州電子政府サービスの相互運用可能な提供) IDABC 認証保証レベル |
| 6 | 「電子認証に関する OECD 勧告および電子認証に関する OECD ガイドライン」 http://www.oecd.org/dataoecd/32/45/38921342.pdf |
| 7 | 英国政府のグッドプラクティスガイド 45 — 個人の身元証明と検証 (問題 2.2) https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/370033/GPG_45_identity_proofing_v2_3_April_2014.pdf |
| 8 | 国家電子認証フレームワーク http://www.finance.gov.au/policy-guides-procurement/authentication-and-identity-management/national-e-authentication-framework/ |
| 9 | 特別な居酒屋。 NIST 800-63-2, 電子認証ガイドライン、2013 年 8 月 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-2.pdf |
| 10 | OMB M-04-04, 連邦組織のための電子認証ガイダンス https://georgewbush-whitehouse.archives.gov/omb/memoranda/fy04/m04-04.pdf |
| 11 | 電子認証の原則。カナダのフレームワーク http://publications.gc.ca/Collection/Iu64-16-2004E.pdf |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL: www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Security techniques.
Introduction
An International Standard for identity proofing of natural persons is required, to which other identity management standards can refer.
A large and increasing number of industry and government organizations seek an international identity proofing standard. This document enables interoperability and federated trust for the purposes of digital economies and societies, and support international cyber assurance across supply chains and global commons.
This document relates to: the ISO/IEC 24760 series which specifies a general framework for identity management, including a life cycle for identity information; and ISO/IEC 29115, which specifies levels of assurance for entity authentication. These standards focus primarily on the policy and technical standards for the issuance and operation of identity management and access management systems, which come after the process of enrolment. The use of these standards can benefit from a standard for identity proofing of persons.
This document is intended to be used by any entity that performs identity proofing, such as described in ISO/IEC 29115 and/or the ISO/IEC 24760 series.
1 Scope
This document:
- gives guidelines for the identity proofing of a person;
- specifies levels of identity proofing, and requirements to achieve these levels.
This document is applicable to identity management systems.
2 Normative references
There are no normative references in this document.
3 Terms, definitions and abbreviated terms
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
application
process whereby information to be used for identity (3.9) proofing of a subject (3.15) is provided
3.2
authoritative evidence
evidence that holds identifying attribute(s) (3.8) that are managed by an authoritative party (3.3)
Note 1 to entry: This is one type of evidence of identity.
Note 2 to entry: Authoritative evidence for a particular identifying attribute can be only corroborative evidence for another.
3.3
authoritative party
entity that has the recognized right to create or record, and has responsibility to directly manage, an identifying attribute (3.8)
Note 1 to entry: Jurisdiction(s) and/or industry communities sometimes nominate a party as authoritative. It is possible that such a party is subject to legal controls.
3.4
context
environment with defined boundary conditions in which subjects (3.15) exist and interact
[SOURCE:ITU-T X.1252 (4/2010), 6.20, modified — entities has been replaced by subjects.]
3.5
corroborative evidence
evidence that holds identifying attribute(s) (3.8) that are not managed by an authoritative party (3.3)
Note 1 to entry: It is possible that the identifying attributes in corroborative evidence are not as up-to-date or accurate as those in authoritative evidence.
Note 2 to entry: This is one type of evidence of identity.
Note 3 to entry: Corroborative evidence for a particular identifying attribute can be authoritative evidence for another.
3.6
credential
set of data presented as evidence of a claimed or asserted identity (3.9) and/or entitlements
[SOURCE:ISO/IEC 29115:2013, 3.8, modified — The Note has been deleted.]
3.7
evidence of identity
EOI
evidence that provides a degree of confidence that a subject (3.15) is represented by the identity (3.9) being claimed
3.8
identifying attribute
attribute that contributes to uniquely identifying a subject (3.15) within a context
3.9
identity
set of attributes related to a person (3.12)
[SOURCE:ISO/IEC 24760‑1:2011, 3.1.2, modified — “entity” has been replaced by “person” and the Notes have been deleted.]
3.10
identity information
set of values of attributes optionally with any associated metadata in an identity (3.9)
[SOURCE:ISO/IEC 24760‑1:2011, 3.2.4, modified — The Note has been deleted.]
3.11
level of identity proofing
LoIP
confidence achieved in the identity proofing
3.12
person
human being
3.13
proofing information
information collected for identity proofing
3.14
proofing party
entity that performs identity proofing of a subject (3.15)
3.15
subject
person (3.12) whose identity (3.9) is being proofed
3.16
supporting attribute
attribute that is used in identity proofing but not as an identifying attribute (3.8)
Bibliography
| 1 | ISO/IEC 24760 (all parts), Information technology — Security techniques — A framework for identity management |
| 2 | ISO/IEC 29115, Information technology — Security techniques — Entity authentication assurance framework |
| 3 | Recommendation ITU-TX.1252 (2010), Baseline identity management terms and definitions http://www.itu.int/SG-CP/example_docs/ITU-T-REC/ITU-T-REC_E.pdf |
| 4 | Recommendation ITU-TX.1254 (2012), Entity authentication assurance framework https://www.itu.int/rec/T-REC-X.1254-201209-I/en |
| 5 | ENISA, Mapping (Interoperable Delivery of European e-government services to public Administrations, Businesses and Citizens) IDABC Authentication Assurance Levels to SAML v2.0 |
| 6 | “OECD Recommendation for Electronic Authentication and OECD Guidelines for Electronic Authentication” http://www.oecd.org/dataoecd/32/45/38921342.pdf |
| 7 | British Government Good Practice Guide 45 — Identity Proofing & Verification of an Individual (Issue 2.2) https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/370033/GPG_45_identity_proofing_v2_3_July_2014.pdf |
| 8 | The National e-Authentication Framework http://www.finance.gov.au/policy-guides-procurement/authentication-and-identity-management/national-e-authentication-framework/ |
| 9 | Special pub. NIST 800-63-2, Electronic Authentication Guideline, August 2013 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-2.pdf |
| 10 | OMB M-04-04, e-Authentication Guidance for Federal Organization https://georgewbush-whitehouse.archives.gov/omb/memoranda/fy04/m04-04.pdf |
| 11 | Principles for Electronic Authentication. A Canadian Framework http://publications.gc.ca/Collection/Iu64-16-2004E.pdf |