事故や不正でこうむるリスクで4段階に分類
ID保証フレームワークの仕様を一般公開、リバティ
2008/06/24
アイデンティティ管理の標準化を行う業界団体「リバティ・アライアンス」は6月23日、「Liberty Identity Assurance Framework」(IAF)の仕様を一般公開した。IAFでは、アイデンティティ保証を最低から最高まで4つのレベルに分けて詳細を規定している。IAFは、組織間やWebサイト間でID認証のフレームワークを相互に利用する際に、要求する信頼度を指定する枠組みを与える。
保証レベル1では、ID認証が最低限の信頼性しかない。例えば個人ユーザーがWebサイトに登録して、そのサイトでカスタマイズページを作るようなケースでは、保証レベル1で十分と説明している。
保証レベル2では、不正なID利用があった場合に多少のリスクがある場合に適用するもので1要素認証が適当だという。例えばWebサイトを利用して保険の受取人を変更するようなケースが相当する。
保証レベル3では不正なID利用のリスクが大きい場合に要求するレベルで、株式のオンライン売買や特許の電子申請など高度なセキュリティが要求される場面に相当する。保証レベル3を提供するには複数要素認証が必要だ。
保証レベル4は最高レベルの信頼性が必要な場面に適する。保証レベル3との違いは、ハードウェアによる暗号トークンの利用などが必須とされている点だ。犯罪データベースにアクセスする場合や、薬剤師が利用に法的制限がある化学物質を処方する場合などに適用する。
IAFを適用することで、信頼できるアイデンティティ管理企業、SNS、Web 2.0アプリケーションなど、信頼性に違いあるサイト間でも、利用方法とリスクに基づいて連携しやすくなるという。リバティ・アライアンスは2008年第3四半期中に、IAF仕様に基づくアプリケーションの検証と、認定プログラムを発表予定だ。IAFはグローバルな金融サービス、政府機関、医療、IT、通信の各分野のメンバーの意見を反映しつつ、リバティ・アライアンスで開発されている。
今後、IAFでは評価基準と認定規定の定義を行い、組織に対する各アイデンティティ保証レベルの認定を可能にしていく。具体的には、リバティ・アライアンス公認の評価者が行うアイデンティティ管理システムのIAF対応認定プログラムを利用する形になる。公式IAF対応認定プログラムは現在リバティ・アライアンスで策定作業が進められており、2008年後半に公開される予定。
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
