ISO/IEC 24760-1:2019(E)

IT Security and Privacy — A framework for identity management — Terminology and concepts — Part 1

版: 第2版（2019-05）
参照: ISO/IEC 24760-1:2019(E)

Foreword

ISO（国際標準化機構）および IEC（国際電気標準会議）は、世界的な標準化のための専門システムを構成する。ISO または IEC の加盟国の国家標準化団体は、それぞれの組織が特定の技術分野を扱うために設置した専門委員会を通じて、国際規格の策定に参加する。ISO と IEC の技術委員会は、相互に関心のある分野で協力する。ISO および IEC と連携関係にある政府組織および非政府組織を含む他の国際機関も、この作業に参加する。

本書の策定手順および今後の保守に関する手順は、ISO/IEC 指令（Directives）パート1に記載されている。特に、文書の種類ごとに必要となる承認基準の相違に留意すること。本書は ISO/IEC 指令パート2の編集規則に従って作成された。

本書の要素の一部が特許権の対象となる可能性があることに注意されたい。ISO および IEC は、そのような特許権の一部または全部を識別する責任を負わない。本書の策定中に識別された特許権の詳細は、序文および／または ISO が受領した特許宣言の一覧、または IEC が受領した特許宣言の一覧に示される。

本書に記載される商標名は、利用者の便宜のために示す情報であり、推奨を意味しない。

本書は、技術委員会 ISO/IEC JTC 1（情報技術）、分科委員会 SC 27（IT セキュリティ技術）により作成された。

本第2版は、第1版（ISO/IEC 24760-1:2011）を取り消し置き換えるものであり、技術的に改訂されている。前版からの主な変更点は以下のとおりである。

第3章に新しい用語を追加した。
いくつかの定義を簡略化し、修正した。
いくつかの用語を削除し、いくつかを置き換えた。
5.1 の導入段落を言い換えた。
新しい小節 5.4 および 8.5 を新設した。

ISO/IEC 24760 シリーズの全ての部は、ISO のウェブサイトに一覧がある。

本書に関するフィードバックまたは質問は、利用者の国の国家標準化団体に送付されたい。

Introduction

データ処理システムは一般に、利用者（人、機器、またはそれらに接続されたソフトウェア）に関するさまざまな情報を収集し、その収集情報に基づいて意思決定を行う。そのようなアイデンティティに基づく意思決定は、アプリケーションやその他資源へのアクセスに関わり得る。

アイデンティティに基づく意思決定を行うシステムを、効率的かつ効果的に実装する必要性に対応するため、ISO/IEC 24760 シリーズは、個人・組織、または個人／組織の代理として動作する情報技術コンポーネントを特徴づけるためのデータの発行、管理、および利用のためのフレームワークを規定する。

多くの組織にとって、アイデンティティ情報の適切な管理は組織プロセスのセキュリティ維持に不可欠である。個人にとっては、正しいアイデンティティ管理はプライバシー保護のために重要である。

ISO/IEC 24760 シリーズは、情報システムがビジネス上・契約上・規制上・法的義務を満たせるようにすることを目的として、アイデンティティ管理の基本概念と運用構造を規定する。

本書の目的は、アイデンティティ管理分野における共通理解を促進するために、アイデンティティ管理の用語と概念を規定することである。

1 Scope

本書は、アイデンティティ管理の用語を定義し、アイデンティティおよびアイデンティティ管理の中核概念とそれらの関係を規定する。

本書は、アイデンティティ情報を処理するあらゆる情報システムに適用できる。

2 Normative references

以下の文書は、本書の中で参照されており、その内容の全部または一部が本書の要求事項を構成するような形で引用される。発行年を付した参照の場合は、引用された版のみが適用される。発行年を付さない参照の場合は、参照文書の最新版（追補を含む）が適用される。

ISO/IEC 24760-2:2015, Information technology — Security techniques — A framework for identity management — Part 2: Reference architecture and requirements

3 Terms and definitions

本書の目的において、以下の用語および定義を適用する。

ISO および IEC は、標準化のために使用する用語データベースを以下で管理している。

ISO Online browsing platform: https://www.iso.org/obp
IEC Electropedia: http://www.electropedia.org/

3.1 General terms

3.1.1 entity

ドメイン項目：ドメイン（3.2.3）の運用目的に関連し、識別可能な独立した存在をもつもの。

注記1： エンティティは物理的実体または論理的実体になり得る。
例：人、組織、装置、そのような項目の集合、通信サービスの人間加入者、SIMカード、パスポート、ネットワークインタフェースカード、ソフトウェアアプリケーション、サービス、ウェブサイト。

3.1.2 identity

部分アイデンティティ（partial identity）
エンティティ（3.1.1）に関連する属性（3.1.3）の集合。

注記1： 1つのエンティティは複数のアイデンティティを持ち得る。
注記2： 複数のエンティティが同一のアイデンティティを持つことがあり得る。
注記3： ITU-T X1252 [13] は識別子の区別的利用を規定する。本書では「identity」という用語にその側面を含意する。

3.1.3 attribute

エンティティ（3.1.1）の特性または性質。

例：エンティティ種別、住所情報、電話番号、特権、MACアドレス、ドメイン名など。

3.1.4 identifier

ドメイン（3.2.3）において アイデンティティ（3.1.2）を一意に特徴づける属性（3.1.3）または属性集合。

注記1： 識別子は、ドメイン内で一意となるよう割り当てられた値をもつ、 специально作成された属性でもよい。
例：クラブ名＋会員番号、保険会社名＋保険証番号、メールアドレス、UUID などは識別子として利用できる。選挙人名簿では、氏名・住所・生年月日 の組合せで投票者を曖昧なく区別できる。

3.1.5 domain of origin

属性（3.1.3）の値が作成された、または（再）割当てされた ドメイン（3.2.3）。

注記1： 起源ドメインは属性のメタデータとして提供され得る。
注記2： 起源ドメインは通常、属性値の意味と形式を規定する。これは国際規格に基づき得る。
注記3： 属性は起源ドメインへの参照を明示的に含み得る（例：パスポート番号に含まれる発行国を示す ISO 国コード）。
注記4： 運用上、起源ドメインは属性の権威ある情報源（Attribute Authority とも呼ばれる）として利用可能であり得る。権威ある情報源は実際の起源ドメイン外で運用されることもある。同一の起源ドメインに対し複数の権威ある情報源が存在し得る。
例：会員番号の起源ドメインは、その番号を割り当てた当該クラブである。

3.1.6 reference identifier (RI)

ドメイン（3.2.3）における 識別子（3.1.4）であって、エンティティ（3.1.1）が当該ドメインで「既知」である期間は同一のままであることが意図され、さらにエンティティが当該ドメインで既知でなくなった後、ポリシーで定める期間は他のエンティティに関連付けられないもの。

注記1： 参照識別子は少なくともドメインにおけるエンティティの存在期間にわたり存続し、アーカイブ目的などでエンティティより長く存続し得る。
注記2： 参照識別子はエンティティの生存期間中に変更され得るが、その時点で旧参照識別子は当該エンティティに適用されない。
例：運転免許番号のように運転期間中ずっと同一で、追加のアイデンティティ情報を参照する永続的識別子は参照識別子である。IPアドレスは他のエンティティに割り当てられ得るため参照識別子ではない。

3.1.7 principal

エンティティ／サブジェクト／システム
アイデンティティ管理システム（3.4.8）によってアイデンティティ情報が保存・管理される エンティティ（3.1.1）。

注記1： 通常、プライバシー保護の文脈、またはプリンシパルが主体性（agency）を持つものとして扱われる文脈では、プリンシパルは人を指す。
出典： ISO/IEC 24760-2:2015, 3.4（修正：”pertains” の明確化、注記1の言い換え）

3.2 Identification

3.2.1 identification

特定の ドメイン（3.2.3）において、ある エンティティ（3.1.1）を他のエンティティと区別できるものとして認識するプロセス。

注記1： 識別のプロセスは、主張された／観測された属性に対して検証を適用する。
注記2： 識別は通常、エンティティとドメイン内サービスとの相互作用や資源アクセスの一部である。エンティティがドメインで既知である期間中に複数回起こり得る。

3.2.2 verification

特定の エンティティ（3.1.1）に関連付けられた アイデンティティ情報（3.2.4）が正しいことを確立するプロセス。

注記1： 検証は通常、ドメインでエンティティを認識するために必要な属性を決定し、その必須属性が存在すること、構文が正しいこと、定義された有効期間内であること、当該エンティティに関係することを確認することを含む。

3.2.3 domain

適用ドメイン／コンテキスト／環境
エンティティ（3.1.1）が識別（3.2.1）やその他の目的のために、属性（3.1.3）の集合を利用できる環境。

注記1： 一般に、アイデンティティのドメインは特定の属性集合との関係で明確に定義される。
注記2： ITU-T X1252 [13] は context という用語を使うが、本書では domain を用いる。
例：組織が配備し、利用者がログインできる IT システムは、利用者のログイン名に関するドメインである。

3.2.4 identity information

アイデンティティ（3.1.2）における属性（3.1.3）の値（必要に応じて関連メタデータを含む）の集合。

注記1： 情報通信技術システムにおいて、アイデンティティはアイデンティティ情報として存在する。

3.3 Authenticating identity information

3.3.1 authentication

検証（3.2.2）を形式化したプロセスであり、成功した場合に エンティティ（3.1.1）について 認証済みアイデンティティ（3.3.2）を得る。

注記1： 認証プロセスは、検証者がエンティティから提供された1つ以上のアイデンティティ属性をテストし、要求される保証レベルでその正しさを判定することを含む。
注記2： 認証は通常、成功結果に必要な保証レベルを指定するポリシーの利用を含む。

3.3.2 authenticated identity

認証（3.3.1）の結果を記録するために作成された、エンティティ（3.1.1）の アイデンティティ情報（3.2.4）。

注記1： 認証済みアイデンティティは通常、達成した保証レベルなど、認証プロセスで得られた情報を含む。
注記2： あるドメインに認証済みアイデンティティが存在することは、エンティティが当該ドメインで認識されたことを示す。
注記3： 認証済みアイデンティティの寿命は通常、認証ポリシーにより制限される。

3.3.3 identity information authority (IIA)

特定の ドメイン（3.2.3）に関連する エンティティ（3.1.1）であり、アイデンティティ（3.1.2）における1つ以上の属性値の有効性および／または正しさについて、証明可能な主張を行えるもの。

注記1： IIA は通常、属性が特別な意味を持つドメイン（例えば起源ドメイン）に関連付けられる。
注記2： IIA の活動は、プライバシー保護ポリシーの対象となり得る。
注記3： 1つのエンティティが、アイデンティティ情報提供者とアイデンティティ情報権威の機能を兼ね得る。

3.3.4 identity information provider (IIP)

アイデンティティ提供者（identity provider）
アイデンティティ情報（3.2.4）を利用可能にする エンティティ（3.1.1）。

注記1： 典型的な IIP の操作は、特定ドメインで既知のエンティティに対するアイデンティティ情報の作成および維持である。IIP と IIA は同一エンティティであり得る。

3.3.5 credential

認証（3.3.1）に用いるための アイデンティティ（3.1.2）の表現。

注記1： 5.4 にあるとおり、クレデンシャルの具体的形態は非常に多様であるため、本書の定義は非常に一般的である。
注記2： クレデンシャルは通常、それが表すアイデンティティに関するアイデンティティ情報の認証を容易にするために作られる。データ認証は通常、認可で用いられる。
注記3： クレデンシャルが表すアイデンティティ情報は、人間可読媒体に印刷される場合もあれば、物理トークン内に格納される場合もある。通常、その情報は有効性が知覚されやすいよう提示され得る。
注記4： クレデンシャルは、ユーザ名、ユーザ名＋パスワード、PIN、スマートカード、トークン、指紋、パスポートなどになり得る。

3.3.6 verifier

検証（3.2.2）を行う エンティティ（3.1.1）。

注記1： 検証者は、特定ドメインにおけるエンティティの識別を制御するエンティティと同一であってもよいし、その代理として行動してもよい。

3.3.7 relying party (RP)

特定エンティティについての アイデンティティ情報（3.2.4）の検証（3.2.2）に依拠する エンティティ（3.1.1）。

注記1： RP は誤ったアイデンティティ情報によるリスクに晒される。通常、1つ以上の IIA と信頼関係を持つ。

3.3.8 identity assertion

認証（3.3.1）のために、依拠当事者（3.3.7）が用いる、アイデンティティ情報権威（3.3.3）による表明（ステートメント）。

注記1： アイデンティティ表明は、例えばアイデンティティ連携において、当事者間で合意されたアルゴリズムと鍵で作成される「認証成功の暗号学的証明」であり得る。

4 Symbols and abbreviated terms

ICT — 情報通信技術（Information and Communication Technology）
IDM — アイデンティティ管理（Identity Management）
IIP — アイデンティティ情報提供者（Identity Information Provider）
IIA — アイデンティティ情報権威（Identity Information Authority）
RI — 参照識別子（Reference Identifier）
RP — 依拠当事者（Relying Party）
SSO — シングルサインオン（Single Sign On）
URI — 一様資源識別子（Uniform Resource Identifier）
UUID — ユニバーサル一意識別子（Universal Unique Identifier）

5 Identity

5.1 General

アイデンティティは、ICT システムにおいて保存または処理されるデータとしてエンティティを表す。ICT システムが提供する特定の適用ドメインの（業務）目的は、エンティティに関するどの属性をそのアイデンティティとして用いるかを決定する。永続的に保存されるアイデンティティは、プリンシパルの識別の基礎となる。永続的アイデンティティが識別子でない場合、識別にはプリンシパルからの追加情報が必要になることがある。

アイデンティティは、プリンシパルに発行されるクレデンシャルによって、その一部または全部が表現され得る。アイデンティティがそのようなクレデンシャルで表現される場合、クレデンシャルの識別子が登録済みアイデンティティに含められ得る。

本書は、特定のエンティティを記述する任意の属性集合を、そのエンティティのアイデンティティとみなす。あるドメインでは、異なるエンティティに対して永続的に保存されるアイデンティティ情報が同一であり得る。この場合、必要に応じて識別において追加情報を用い、エンティティを別個のものとして認識する。他の規格（例：ITU-T X1252 [13]）では、アイデンティティの明示的目的は、ドメイン（「文脈」）におけるアプリケーションに関連する範囲で、アイデンティティ情報がエンティティ同士を区別できる能力である。

エンティティは複数のアイデンティティを持ち得る。それぞれのアイデンティティは、少なくとも 1 つのドメインに関係する。エンティティは、同一ドメインに関係する複数のアイデンティティを持ち得る。エンティティのあるアイデンティティは、どのドメインにおいても一意にならないことがある。

NOTE 1 エンティティという用語は広い意味で用いる。自然人、法人／法的主体（機関、会社）、対象（情報、システム、装置）、またはそれら個別エンティティの集合を表す。
NOTE 2 人間は本書におけるエンティティであり、単一の全体的存在を持つ。人間は多くの異なる属性で記述でき、その属性集合の違いが同一の人間エンティティに対する異なるアイデンティティを形成する。

あるドメインにおいてアイデンティティが一意でない場合、そのドメイン内で 1 つ以上の特性を共有するエンティティ群を、当該特性を持たない他のエンティティから区別するために役立ち得る。

エンティティのアイデンティティは、ドメインが提供するサービスとの相互作用や資源へのアクセスにおいて、エンティティに関する関連情報を既知にする役割を持つ。ドメインは、識別またはその他の目的で用いる属性の型と、許容される値の範囲を規定する。

NOTE 3 いくつかの場合、「部分アイデンティティ」という語は、大きな属性集合から取り出した特定の属性集合を指すために用いられることがある。対照的に、ドメインにおけるエンティティの「完全なアイデンティティ」を、利用可能な全属性として参照することもある。本書における推奨語は identity である。

ドメインは、認識しようとするエンティティのアイデンティティ情報を管理するために、ISO/IEC 24760 シリーズに適合するアイデンティティ管理システムを配備すべきである。

5.2 Identity information

ドメイン内で特定エンティティに関係する情報は、アイデンティティ情報と呼ばれる。

与えられたアイデンティティ情報が、特定のユースケースの文脈において他者からエンティティを十分に区別できるなら、そのアイデンティティ情報は 区別可能なアイデンティティ（distinguishing identity） である。

アイデンティティ情報に含まれる値の組合せがドメイン内で一意なら、そのアイデンティティ情報は当該エンティティの 識別子（identifier） である。

ドメインにおいてエンティティの新しいアイデンティティが作成されるとき、当該ドメインのアイデンティティ情報提供者は、新しいアイデンティティに必要な属性の値を作成できる。新しい属性は次の情報から成り得る。

ドメインと、アイデンティティが作成されるエンティティとの相互作用を容易にするために必要な任意の情報
エンティティの将来の識別に必要な任意の情報（エンティティの物理的存在の側面の記述を含む）
エンティティのアイデンティティの将来の認証に必要な任意の情報
1 つ以上の参照識別子

新しいアイデンティティ情報は、当該ドメインまたは別ドメインで作成された当該エンティティのアイデンティティ情報から導出され得る。導出は、複写、取りまとめ（collating）、または仮名（pseudonym）の作成を含み得る。

ドメインは、作成されたアイデンティティ情報が当該エンティティに正確に関係していることを確実にしなければならない。

アイデンティティ情報は、例えば、その起源、利用範囲、有効期間を指定するメタデータに関連付けられ得る。アイデンティティ情報のメタデータ自体もアイデンティティ情報となり得て、関係するアイデンティティに含められ得る。

アイデンティティ情報および関連メタデータは変更され得る。アイデンティティ情報の変更・更新・作成の手続きおよび条件は、適切なポリシーにより規定されなければならない。これらのポリシーは監査のための記録保持を含み得る。また、これらのポリシーは、アイデンティティライフサイクル（7.2参照）に関する多様な作業・活動を区別でき、これには次が含まれる。

外部ソースからの情報の要求および受領
検証（verify）および妥当性確認（validate）
適格性判定（qualifying）および分類（categorizing）
記録（recording）
供給（provisioning）
アーカイブ（archiving）
削除（deleting）

5.3 Identifier

アイデンティティ内で識別子として用いられる一意属性（または属性集合）は次のいずれかであり得る。

起源ドメイン内でエンティティが排他的に利用できるもの
起源ドメイン以外のドメインでも利用できるもの

識別子は、起源ドメインでゼロから構成され得るし、観測結果であり得るし、提示された識別子に基づくものであり得る。

NOTE 1 いくつかの場合（例：シングルサインオン）、識別子は起源ドメインの外でも利用されることを目的に作成され得る。
NOTE 2 いくつかの場合、識別子だけでは、起源ドメインとは異なるドメインで別のエンティティと区別するのに不十分なことがある。この場合、他ドメインは、識別子の利用方法に応じて追加のアイデンティティ情報を必要とし得る。

5.4 Credential

5.4.1 General

クレデンシャルは、次のような異なる形式で存在し得る。

プリンシパルとアイデンティティ管理システムだけが知る情報（例：パスワード、PIN、パスフレーズ）
プリンシパルが知っており、場合によっては他エンティティも知り得る非秘密情報（例：ユーザ名）
アイデンティティ情報を含むデジタル記録
印刷されたアイデンティティ情報（場合により機械可読）を持つ文書
携帯可能な処理装置（例：スマートカード）で、その（永続）メモリにアイデンティティ情報が格納されるもの
これら形式の組合せ

NOTE 1 人間エンティティ（人）の場合、クレデンシャルは、そのクレデンシャルで表されるアイデンティティを持つ人が所持する物理的物体であることが多い。クレデンシャルは、そのアイデンティティが属するドメインを間接的に表す（例：秘密が検証できる文脈としての秘密のコンテキスト）。
NOTE 2 秘密クレデンシャルが一意の値でない場合、認証にはユーザ名や生体サンプルなどの追加情報が必要になり得る。この情報は別のクレデンシャルにより提供され得る。
NOTE 3 物理クレデンシャルは発行者ドメイン内で一意になり得る。例えばパスポートは、（エンティティである）人を、その国（ドメイン）の国民として一意に識別する。
NOTE 4 クレデンシャルは、それ自体が独自の識別子を持つエンティティとみなすこともできる（例：一意の旅券番号で識別されるパスポート）。

クレデンシャルは、所与の保証レベルで、含まれるアイデンティティ情報の検証を容易にする情報を含み得る。適切な検証技術は、用途および用いるクレデンシャルの形態に依存し、次を含み得る。

起源ドメインへの参照（例：名前、URL）
クレデンシャル発行者への参照（例：名前、URL）
エンティティだけが知る秘密情報（例：パスワード）
生体参照データ
複製が困難な物理的特性（例：
- 透かし（watermark）
- セキュリティ印刷
- ホログラム
- 物理的複製困難関数（PUF））
秘密鍵（暗号鍵）
公開鍵（暗号学的公開鍵）
公開鍵証明書
暗号鍵のパラメータの記述
アイデンティティ証明（proofing）や含有アイデンティティ情報の保証レベルに関する仕様への参照（例：国際規格）

NOTE 5 検証を支援するためにクレデンシャルに含まれる情報は、第三者がクレデンシャルの物理的完全性、またはそこに含まれるアイデンティティ情報の論理的完全性を主張できるようにする。この支援情報により、検証者はクレデンシャルから得る情報に対して保証を得られる。検証者は、クレデンシャルが発行されたドメインから得た追加情報などを用いて、クレデンシャルおよびその情報の完全性を判断し得る。

関連する法律・規制が許す範囲で、人に関係するクレデンシャルにおいて検証を支える情報は、プライバシーを保護するよう選択されるべきである（例：匿名または仮名の暗号操作を可能にする）。

クレデンシャルはさらに、クレデンシャルが表すアイデンティティ情報の認証および機密性保護のための暗号手法を支援し得る。これらの暗号手法は、その情報の選択的開示を支援し得る。

クレデンシャルは、クレデンシャルが発行されるドメインにおいて、エンティティの識別子として機能し得る。クレデンシャルは、別ドメインにおける加入（enrolment）のためのアイデンティティ証拠（identity evidence）として用いられ得る。

5.4.2 Credential management

クレデンシャルは、それが表すエンティティに関連付けられなければならず、含まれるアイデンティティ情報は、発行時点で正確でなければならない。物理形態でクレデンシャルを発行するドメインは、各クレデンシャルに一意識別子を関連付けられ、クレデンシャル発行をレジスタに記録し得る。クレデンシャルレジスタは ISO/IEC 24760-2 に従って実装されなければならない。

NOTE プライバシー保護を強化するため、発行ドメインにおいてクレデンシャルレジスタをアイデンティティレジスタから分離してもよい。

クレデンシャル管理の原則は ISO/IEC 29115 に記載されている。

6 Attributes

6.1 General

アイデンティティの属性は、ドメインにおいて関連する、エンティティの状態、外観、またはその他の性質を記述する。各属性は、その属性が取り得る値の解釈を統制するための固有のセマンティクス（意味）を持つ。属性のセマンティクスは、例えば値を確立する装置に対する国際規格への参照によって、明示的に定義され得る。

属性は、型、値、運用コンテキストを持つ。属性は参照に用いられる名称を持ち得る。属性値の用途に応じて、その運用コンテキストは起源ドメインまたは適用ドメインとなる。

属性に対して、明確に定義され文書化されたセマンティクスおよびシンタクス（構文）が規定されなければならない。

NOTE アイデンティティ管理を実装する IT システムでは、属性を表す各データ要素について、その内部表現と外部表現（構文）および処理方法（意味）が、システム設計文書で明示的に定義されることが必須である。

6.2 Types of attribute

属性は、次を含む（ただしこれに限られない）1つ以上の型に分類できる。

NOTE ここでの属性分類は例として示す。一部の属性は複数の型に分類され得る。

物理的存在に関する情報（例：）
- 経歴情報（biographical details）
- 自宅または事業所住所
- 雇用者
- 職歴
- デバイスの所在地
時間とともに変化するエンティティの推移を記述する情報（例：）
- 学位
- 能力資格（competency qualifications）
- 受賞歴
- インストール済みアプリケーション
- デバイス構成
生体情報など、エンティティの物理的存在に内在する情報
エンティティに割り当てられる情報（例：）
- 称号（title）
- 役割（role）
- 電子署名
- 社会保障番号
- 市民番号
- 旅券番号
- メーカーのシリアル番号
- ネットワーク（MAC）アドレス
- 暗号鍵
エンティティのアイデンティティ情報を表すオブジェクトへの参照（例：）
- パスポート
- 卒業証書
- 名刺
- 定款（articles of incorporation）
- 車両登録（vehicle registration）

6.3 Domain of origin

属性の起源ドメインは、属性に対して次を示すメタデータを提供し得る。

属性の値域
属性値の一意性
属性値のエンコーディング
属性またはアイデンティティの作成／検証時刻
属性またはアイデンティティの失効時刻
属性またはアイデンティティの値を確立する方法
属性値の検証方法
属性値の人間可読表現を得る仕組み

属性の起源ドメイン、または起源ドメインが指定する情報のいずれかは、例えばシステム仕様文書や適用規格への参照として、属性値の一部として明示的に指定し得る。

NOTE 1 明示的な起源ドメインは、必要に応じて（例：ディスカバリプロセスにおいて）属性値の一部として指定するか、または決定され得る。
NOTE 2 起源ドメインが示す属性特性は、例えば属性型定義に含まれるシステム仕様文書への一意参照（例：URI）で示し得る。
NOTE 3 メタデータを含む属性値は、複合値（composite value）と呼ばれ得る。

7 Managing identity information

7.1 General

ドメインは、エンティティとの相互作用（例：認証）を支援するために、アイデンティティ管理システムを利用し得る。

アイデンティティ管理は、加入（enrolment）の開始からアーカイブまたは削除に至るまで、アイデンティティ情報のライフサイクルを対象とする。

アイデンティティ管理には、ガバナンス、ポリシー、プロセス、データ、技術、規格が含まれ得て、これには次が含まれる。

アイデンティティレジスタを実装するアプリケーション
アイデンティティの認証
アイデンティティ情報の来歴（provenance）の確立
アイデンティティ情報とエンティティのリンク確立
アイデンティティ情報の維持
アイデンティティ情報の完全性の確保
既知のアイデンティティとしてのエンティティの認証を容易にするクレデンシャルおよびサービスの提供
アイデンティティ情報の盗難または悪用のリスクの軽減

7.2 Identity lifecycle

図1は、アイデンティティ管理システムにおけるアイデンティティのライフサイクルを示す。初期状態では情報が存在せず、エンティティは未知である。エンティティに関するすべてのアイデンティティ情報を削除した後、エンティティは再び未知となる。

NOTE アイデンティティ管理システムの観点では、未知のエンティティは存在しない。

アイデンティティライフサイクルの段階として、次を識別した。

Unknown（未知）：エンティティを識別するために使用できる情報がアイデンティティレジスタに存在せず、そのためエンティティは未知である。
Established（確立）：必要なアイデンティティ情報が加入プロセス（8.3参照）で検証され、追加情報（例：参照識別子）が生成され、情報が登録された（8.4参照）。
Active（有効）：アイデンティティ情報がシステムに存在し、エンティティがドメインで提供されるサービスと相互作用し資源を利用できる（例：ITシステムでアクティブセッションを開始する権利がある）。
Suspended（停止）：アイデンティティ情報が存在するが、エンティティがドメイン資源を利用できないことを示すために保持される。
Archived（アーカイブ）：エンティティがドメインに存在しなくなった後も、アイデンティティ情報がレジスタに残る。アーカイブ情報は、再加入時などを除きエンティティ認識には利用されない。エンティティが再加入する場合、アーカイブ情報を使って新しいアイデンティティを確立でき、その際アーカイブ情報の一部を含められる（復元）。

図1 — アイデンティティライフサイクル（※図はこのテキスト抽出では省略）

ライフサイクル管理において、次の遷移を適用できる。

Enrolment（加入）：アイデンティティ証明（proofing）および、検証・生成されたアイデンティティ情報を持つアイデンティティの登録を含む。8.3参照。
Activation（有効化）：ドメインが提供する資源へのアクセスおよびサービス相互作用を可能にするために、アイデンティティレジスタに保存される情報へアイデンティティ情報を追加すること。
Maintenance（保守）：エンティティのアイデンティティレジスタに保存されたアイデンティティ情報を更新すること。第10章参照。
Identity adjustment（アイデンティティ調整）：新しい情報により有効化情報の修正が生じる場合の、レジスタ情報の更新。
Suspension（停止）：エンティティに関する一部のアイデンティティ情報を一時的に利用不可としてマークすること。保存されたアイデンティティ情報に表現されるアクセス権を取り除くことにより実現され得る。
Reactivation（再有効化）：停止の取り消し。
Delete（削除）：登録済みアイデンティティにおけるアイデンティティ情報の完全除去。
Archive（アーカイブ）：エンティティに関するアイデンティティ情報の部分的除去。情報は統計処理のためにのみ利用可能となり、エンティティにより追加情報が提供された場合に限って当該エンティティに関係するものとしてアクセス可能となる。
Enrolment/restore（加入／復元）：アイデンティティ証明に用いるアイデンティティ情報の一部を、アイデンティティレジスタから取得する加入プロセス。

8 Identification

8.1 General

識別は、提示されたアイデンティティが、次を確立するために必要な情報を含むことを決定する。

エンティティがドメインで既に既知であること、または
エンティティがドメインで既知となる資格を有すること

識別は、特定エンティティに関連付けられたアイデンティティ情報を用いて、次を判断し得る。

当該エンティティのアイデンティティが既に存在するか
当該エンティティが、既知／提示／観測されたアイデンティティ情報に合致するか
当該エンティティが、そのアイデンティティに一意に関連付けられるか

識別後、ドメインは、識別した他のいかなるエンティティとも区別して、当該エンティティおよびそのドメイン内相互作用を能動的に区別できる。

NOTE 1 本書はドメインの観点から識別を提示する。相互識別（mutual identification）では、両当事者がエンティティかつドメインである。

識別は、エンティティとアイデンティティの双方に属性集合を関連付けることを含む。これら属性の値は次の方法で得られ得る。

観測により決定
エンティティにより提供
アイデンティティレジスタから取得
別ソースにより提供
プロセス中に割当て

識別の後、ドメインは認可（authorization）を行い、エンティティが資源へアクセスしサービスと相互作用するための権利（entitlement）を確立できる。7.2参照。

資源アクセスやサービス相互作用にアイデンティティ関連リスクが伴うシステムでは、識別に必要な保証レベルは、資源に対するアイデンティティリスクの種類と水準、および権利が確立され得るサービス相互作用の種類に基づいて規定されなければならない。第9章参照。

識別は単一目的（ドメイン固有）であっても、複数の異なる目的であってもよい。識別は多くのアイデンティティ管理プロセスの一部であり、例えば IT システム向けの ISO/IEC 29115 [11] に定義される。

識別プロセスは、次の原則に従って規定されなければならない。

Risk（リスク）：エンティティのアイデンティティ利用に伴うリスクを評価し、受容可能となるのに必要な程度まで処置しなければならない。
NOTE 1 識別の保証レベルの違いは、異なる資源アクセスやサービス相互作用に関連するリスク水準の違いに対応し得る。
Quality of Information（情報品質）：アイデンティティ情報は、用途目的に照らして正しさに関する十分な保証レベルを提供するよう検証されなければならない。
Data minimization（データ最小化）：人を識別する場合、必要以上のアイデンティティ情報を収集してはならない。

NOTE 2 リスク評価には、利用可能な情報の品質および、その正しさを確立する手段の考慮が含まれる。
NOTE 3 適切なリスク低減策の選択には、コストがリスクに比例することの確保が含まれる。

8.2 Verification

新しいアイデンティティ情報は検証されなければならない。検証は、アイデンティティレジスタまたはアイデンティティ情報提供者から取得したアイデンティティ情報に対しても実施できる。

アイデンティティ情報の検証は、次を確実にしなければならない。

承認された形式で存在すること
ドメインまたは識別目的に特有の基準を満たす値を含むこと
要求される有効期間内に起源を持つこと、または
信頼できるソースに起源を持つこと

NOTE 検証は識別への入力となり得る。また、その結果は特定の状況（例：場所や時刻）に特有であり得る。

検証は、属性がエンティティの物理的存在に関係することも確立できる（例：エンティティから得た生体サンプルを、そのアイデンティティに含まれる生体テンプレートと照合する）。

検証は、提示されたすべての属性が同一エンティティに関係し、その物理的存在と整合することを確立し得る。

検証は、識別プロセスに必須ではない属性の妥当性検査も含み得る。これらは識別後のサービス相互作用や資源アクセスにおいて利用され得る（例：言語設定、口座番号）。

8.3 Enrolment

加入は、加入対象エンティティのために 1 つ以上のアイデンティティを作成する結果となり得る。特に参照識別子が作成され得る。作成されたアイデンティティ情報は、ドメイン内で加入エンティティのアイデンティティとして登録される。アイデンティティ証拠から選択されたアイデンティティ情報も、加入時点でこのアイデンティティに登録され得る。

作成されたアイデンティティにおける一意属性（群）の値は、エンティティが選択してもよいし、アイデンティティ管理システムが割り当ててもよい（例：加入エンティティのアイデンティティ登録時に作成された参照識別子に基づく）。

加入は、加入対象エンティティのアイデンティティ情報として生体データの取得を含み得る。

加入中に作成される識別子の値をエンティティが決定する場合、IDMS はその一意性を確保すべきである。

NOTE 会員カードなどの物理物体は、加入中に作成された識別子を含み得る。

8.4 Registration

アイデンティティ管理システムは、認識しようとするエンティティのアイデンティティ情報をアイデンティティレジスタに記録し得る。加入は、アイデンティティ情報の最初の登録を含む。追加の登録は別の機会にも起こり得る。

NOTE 1 登録後、エンティティはドメインで既知となり、アイデンティティのライフサイクルが開始する。

登録は、特定期間または無期限であり得る。国の法律は、無期限登録の実際の期間、および無期限登録がいつ・どのように終了できるかに制約を課し得る。

法的要件により妨げられない限り、登録は、エンティティによる（またはその代理による）削除要求により終了しなければならない。エンティティのすべてのアイデンティティ情報を削除することで、エンティティはアイデンティティレジスタから除去されなければならない。ただし、適切なポリシーにより、ドメインはアーカイブおよび監査目的で一部のアイデンティティ情報を保持でき、この場合アイデンティティはライフサイクル段階 archived（7.2参照）となる。特に、参照識別子は、他エンティティへの参照として再利用されることを防ぐため保持され得る。

アイデンティティレジスタに保存されるアイデンティティは、保存されるすべてのアイデンティティの中で一意な参照識別子を持たなければならない。参照識別子は、特定のアイデンティティに関するアイデンティティ情報の登録期間中、同一の値を持たなければならない。

参照識別子は、アイデンティティ管理システムを運用するドメイン内での排他的利用を意図してもよい。

NOTE 2 参照識別子がドメインにより排他的に利用されない場合、他ドメインでの識別のためにエンティティが提示するアイデンティティの属性として利用可能であり得る。

アイデンティティレジスタに保存されるアイデンティティ情報は、複数の参照識別子を含み得る。参照識別子は、ドメインにおける当該エンティティの特定の部分アイデンティティを示すために利用され得る。

8.5 Identity proofing

8.5.1 General

ドメインにおけるアイデンティティ証明の目的は、次について特定の保証レベルを確立することである。

エンティティに対して選択された属性が特定の値を持つこと
それら属性が実際に特定のエンティティに関係すること
ドメインで要求される場合、それら同一属性が関係する他のエンティティがドメインに既知として存在しないこと

NOTE 1 永続的に保存されるアイデンティティ情報が一意でないドメインでは、既に識別されていないエンティティに対してのみアイデンティティを作成することが要求され得る。この場合、アイデンティティ管理システムは、アイデンティティ情報とリンクできない追加の永続情報を保存し、証明対象エンティティのアイデンティティが一意であることの判断を支援し得る。
NOTE 2 登録機関（registration authority）はアイデンティティ証明に責任を負う。
NOTE 3 アイデンティティ証明の要求事項は ISO/IEC TS 29003 に規定される。

8.5.2 Identity evidence

アイデンティティ証拠は、ドメインにおけるエンティティ登録のために属性値を確立する目的で用いられなければならない。あるドメインで発行されたクレデンシャルは、別ドメインでアイデンティティ証拠として用いられ得る。これらクレデンシャルはエンティティにより提示され得る。あるいは、エンティティが提供する情報に基づき、別ドメイン（そこでアイデンティティが既知である）から、アイデンティティ情報提供者を通じて取得され得る。

属性アグリゲーション（attribute aggregation）として、同一または異なるドメイン由来の複数クレデンシャルを検証し、それぞれのクレデンシャルが要求結果より低い保証レベルしか提供しない場合でも、属性値に対する要求保証レベル、そしてその値が特定エンティティに関係することの確立のために適用できる。

クレデンシャルが発行されたドメインのアイデンティティ情報権威は、アイデンティティ証明におけるアイデンティティ情報の検証を、次の方法で支援できる。

限定された、認証済みの有効属性値集合の提供（例：通り名、地区番号、近隣名の一覧）
自ドメインで発行された有効クレデンシャルの形式およびその他の物理的／論理的性質の公開
アイデンティティ証明およびアイデンティティ情報保守に適用されるポリシーの公開
証明登録機関と共有する公開鍵基盤における公開鍵の提供（クレデンシャルまたはそれが表すデータの認証に使われる電子署名を検証するため）
自ドメインで既知のエンティティに関する提示属性を検証するオンラインサービスの提供
自ドメインで既知のエンティティについて追加属性を取得するオンラインサービスの提供

9 Authentication

特定の保証レベルでドメイン内においてエンティティの認証に成功すると、依拠当事者は検証結果の正しさおよび適用可能性に関する信頼を得る。ISO/IEC 29115 [11] は保証レベルを規定する。

ISO/IEC 24760 に適合するアイデンティティ管理システムは、各認証プロセスについて次を規定しなければならない。

アイデンティティ情報の検証に関するポリシー
認証済みアイデンティティの有効性および正しさを確立する仕組み
認証済みアイデンティティの有効期間
記録および監査の仕組み、処理ステップおよび（中間）処理結果

NOTE 認証は、入口での厳格な検証が、特定期間にわたる特定活動領域への立入りの認可を与える、周縁防御（perimeter control）のセキュリティモデルに関係する。

10 Maintenance

アイデンティティ管理システムは、登録したアイデンティティ情報に対して、アイデンティティ内の 1 つ以上の属性値を変更することで保守を行い得る。

アイデンティティ管理システムは、保存する属性の完全性と正確性を維持する仕組みを規定しなければならない。また、レジスタに保存されるアイデンティティ情報を、アイデンティティの正確な表現として維持しなければならない。

アイデンティティ情報権威は、プライバシーを尊重するプロセスにおいて、アイデンティティに関して利用可能な最も正確なデータを提供しなければならない。

11 Implementation aspects

アイデンティティ管理システムは次のようになり得る。

centralized（集中型）：完全集中型システムは単一のアイデンティティレジスタと、加入および保存情報へのアクセスを制御する単一の制御点を持つ。
distributed（分散型）：複数のアイデンティティレジスタと、加入および登録済みアイデンティティ情報へのアクセスを制御する複数の制御点を持ち得る。
NOTE 1 より集中化されたシステムは通常、複雑性が低い一方、構造がより硬直的である。
user-centric（ユーザ中心）：エンティティが、アイデンティティレジスタに保存されるアイデンティティ情報の管理において能動的役割を果たせる場合、ユーザ中心である（8.4参照）。
federated（連携型）：自レジスタに必要なアイデンティティ情報を持たないアイデンティティ管理システムが、他のアイデンティティ管理システムからのアイデンティティ情報、および他者が行うアイデンティティ表明を信頼できるようにする。この場合、他のアイデンティティ管理システムはアイデンティティ情報権威として振る舞う。

エンティティが複数ドメインと相互作用する状況において、アイデンティティ連携（federation）の意図は次のとおりである。

アイデンティティ証明を容易にする
認証を容易にする
加入を容易にする
ユーザ体験を改善する

NOTE 2 アイデンティティ連携は、とりわけインターネット上のドメインと相互作用するエンティティ（およびドメイン）に適している。

12 Privacy

ISO/IEC 24760 シリーズに適合するアイデンティティ管理システムは、それが相互作用する人間エンティティのプライバシーを保護するための措置を実装しなければならない。そのようなシステムの設計は、それが処理する機微情報（sensitive information）を明確に規定しなければならない。

ISO/IEC 24760 シリーズに適合するアイデンティティ管理システムは、プライバシー関連機能として次を提供すべきである。

最小開示のための仕組み（ポリシー、プロセス、技術を含む）を実装する
アイデンティティ情報を使用するエンティティを認証する
アイデンティティをリンクできる能力を最小化する
アイデンティティ情報の利用を記録し監査する
不適切に保護されたログや監査証跡におけるアイデンティティ情報などがもたらす、意図せぬプライバシーリスクの発生を防ぐ
選択的開示のためのポリシーを実装する
機微なアイデンティティ情報に関する活動について、人間エンティティの明示的指示または同意を得るためのポリシーを実装する

機微なアイデンティティ情報の取り扱い要求事項は、ISO/IEC 29100 [10] および ISO/IEC 29101 [9] に示される。

Bibliography

ISO/IEC 9594-2, Information technology — Open Systems Interconnection — The Directory — Part 2: Models
ISO/IEC 9594-8, Information technology — Open Systems Interconnection — The Directory — Part 8: Public-key and attribute certificate frameworks
ISO 9001, Quality management systems — Requirements
ISO/IEC 27007, Information technology — Security techniques — Guidelines for information security management systems auditing
ISO/IEC TR 27008, Information technology — Security techniques — Guidelines for the assessment of information security controls
ISO 19092:2008, Financial services — Biometrics — Security framework
ANSI INCITS 359-2004, Role based access control
ISO/IEC 9798 (all parts), Information technology — Security techniques — Entity authentication
ISO/IEC 29100, Information technology — Security techniques — Privacy framework
ISO/IEC 29101, Information technology — Security techniques — Privacy architecture framework
ISO/IEC 29115, Information technology — Security techniques — Entity authentication assurance framework
ISO/IEC 29146, Information technology — Security techniques — A framework for access management
ITU-T Recommendation X1252, Baseline identity management terms and definitions
ITU-T Recommendation Y 2720, NGN identity management framework
The Open Group, “Management D. W041” (March 2004)
EU Project FIDIS (Future of Identity in the Information Society), deliverables D 2.1 (2004), D 2.2 (2005), D 2.3 (2005), D 3.1 (2005), D 3.3 (2005)
US Office of Management and Budget, “E-authentication guidance for federal agencies” (M-04-04), 2003
NIST SP 800-63-3, Digital Identity Guidelines (June 2017)
NIST FIPS 201-2, Personal Identity Verification (PIV) of Federal Employees and Contractors (August 2013)
ISO/IEC TS 29003, Information technology — Security techniques — Identity proofing