Enhancing Identity and Access Management

以下の翻訳です。
https://csrc.nist.gov/nist-cyber-history/identity-access-management/chapter

IT システム、プロセス、および情報へのアクセスを適切に管理することは、サイバーセキュリティリスクを管理するうえで中心的な要素であり、NIST のサイバーセキュリティプログラムにおける優先事項でもあります。NIST は、identity and access management の強化に関して、国際的な標準化団体やコンソーシアムと継続的に連携・協力しています。主な成果には、支配的なアクセス制御モデルである role-based access control (RBAC) の創出と、連邦政府職員および契約職員のための Personal Identity Verification (PIV) の本人確認および認証に関する標準の確立があります.

User Authentication: The Early Days

ほとんどの人がコンピュータを使ったことも、「password」のような用語を聞いたこともなかった時代に、National Bureau of Standards (NBS) はすでに、コンピュータを使用する人を識別するために自動化を活用するためのガイドラインを策定していました。つまり、user authentication です。

ユーザー認証に関する主要な出版物:

FIPS 48, Evaluation of Techniques for Automated Personal Identification (1977)
SP 500-9, The Use of Passwords for Controlled Access to Computer Resources (1977)
FIPS 112, Password Usage (1985)

当時、政府のコンピュータを使っていたのは一般市民ではなく政府職員であり、それらの職員が誰であるかを識別する必要性が高まっていました。というのも、1974 年の Privacy Act が述べているとおり、「個人のプライバシーは、連邦機関による個人情報の収集、維持、利用、および配布によって直接影響を受ける」からです。

NBS は、インターネットに接続された計算機デバイスの数が数十台であって、数十億台ではなかった時代に、user authentication に取り組まなければなりませんでした。また、コンピュータへのアクセス制限を物理的手段のみに頼る時代から、デジタルな手段によるアクセス制限も必要になる時代への移行を認識する必要がありました。初期の時代とは用語に違いがあるものの、当時適用されていた概念の多くは、50 年後の今でも使われています。たとえば、認証の 3 要素、password ベース認証におけるトレードオフ、認証方式を評価するための基準などです。

1980 年代半ばまでには、コンピュータ利用者を認証するために passwords が広く使われるようになり、NIST は、今日でもなじみのある概念、たとえば password の強度や有効期間といった考え方を発展させました。一方で、当時検討されていたものの、現在では姿を消した概念もあります。たとえば、「personal identity authentication」（つまり、あなたは誰か）と「data access authorization」（つまり、何をしてよいのか）のために別々の passwords を持たせるという考え方です。

Smart Cards for Authentication

NIST は 1980 年代後半に smart cards に関する取り組みを開始しました。NIST の研究者たちは、Department of the Treasury で行われていた取り組みを発展させたいと考えていました。その取り組みは、当初、認証目的で smart cards に標準的な暗号アルゴリズムを搭載することに焦点を当てていました。当時は、各 smart card ベンダーが独自の proprietary アルゴリズムを使っており、ベンダーは標準アルゴリズムを自社の smart cards に搭載することは不可能だと考えていました。

Smart cards に関する主要な出版物:

FIPS 190, Guideline for the Use of Advanced Authentication Technology Alternatives (1994)
NISTIR 6887, Government Smart Card Interoperability Specification (GSC-IS) Version 1.0 (2000)
NISTIR 6887 v2, GCS-IS Version 2.0 (2002)
NISTIR 6887 2003 Edition, GCS-IS Version 2.1 (2003)
GAO-03-144, Electronic Government: Progress in Promoting Adoption of Smart Card Technology (2003)
NISTIR 7056, Card Technology Developments and Gap Analysis Interagency Report (2004)

この分野における NIST の最初の成果は、Data Encryption Standard (DES) アルゴリズムを cryptographic token に実装し、Token Based Access Control System (TBACS) と呼ばれるものを作り上げたことでした。続いて NIST は 2 つのプロジェクトで、あるケースでは DES を、別のケースでは RSA を、smart cards に搭載しました。その直後、NIST は複数のベンダーと協力して Advanced Smartcard Access Control System (ASACS) を開発しました。この smart cards には DES が組み込まれているだけでなく、公開鍵暗号機能も備わっていました。

1994 年に公表されたガイドラインの中で、NIST は passwords に代わる手段、たとえば認証 token（smart cards を含む）や biometric devices の調達と利用について推奨事項を示しました。この取り組みは技術的には成功しましたが、その影響は限定的でした。というのも、ほとんどの状況では passwords で十分だと見なされており、とくに smart cards、card readers、そのほかのコンポーネントを発行・配備するコストが考慮されたからです。

1990 年代後半、U.S. General Services Administration (GSA) は、Government Smart Card program の舵取り役として Government Smart Card Interagency Advisory Board (GSC-IAB) を設立しました。NIST は、連邦機関の代表者と産業界のパートナーで構成される GSC-IAB の Architecture Working Group (AWG) を主導し、smart card の相互運用性に関する技術仕様と標準の定義に取り組みました。これは非常に複雑なテーマで、多数の標準、複数層のインターフェース、そして smart card solution を構成する多くの要素が関わっていました。

AWG は GSC Interoperability Specification (GSC-IS) を策定し、open environment で smart cards が機能するための枠組みを確立しました。これは smart card service provider modules のアーキテクチャモデルを定義するものであり、smart card アプリケーション開発者が、共通の services interface を通じて、GSC 準拠の smart cards からさまざまなサービス（たとえば encryption、authentication、digital signatures）を取得できるようにしました。

ついに、開発者たちが合意し、ある程度の相互運用性を実現するために使えるものが現れたのです。重要な課題のひとつは、interoperability specifications が、card を設定して初期化するための管理機能を除外していたことでした。というのも、それはベンダーにとって重要な proprietary 機能だと見なされていたからです。すべてのベンダーが独自の smart card 発行システムを持っていました。すべての機能にわたる完全な相互運用性が理想ではありましたが、NIST の担当者は、運用上の相互運用性をまず最初の一歩として確保することが重要だと考えました。

NIST には、GSC-IS の conformance test program を開発する任務も与えられました。NIST は、自動テスト生成フレームワークと関連ツールキットを再利用しました。これらはもともと、database management system (DBMS) の security functions を試験するための実行可能コードを開発するために使われていたものです。

U.S. Government Accountability Office (GAO) は 2003 年 1 月に、GSC program における NIST の役割について提言を含む報告書を公表しました。これを受けて NIST は、運用中および開発中の storage card および processor card ベース技術の現状、さらにそれらの技術を単一のプラットフォームへ統合する際のユーザー要件と制約の性質を明らかにする取り組みを開始しました。

Personal Identity Verification (PIV) Credentials

2004 年 8 月に出された大統領指令 Homeland Security Presidential Directive 12 [HSPD-12] は、連邦政府が管理する施設への physical access と、連邦政府が管理する情報システムへの logical access を必要とする連邦政府職員および契約職員を識別するための共通標準に関する要件を定めました。当時は、テロ攻撃の対象となりうる施設へアクセスするために使われるこれらの識別手段の品質とセキュリティに大きなばらつきがありました。この大統領指令は、Personal Identity Verification (PIV) card と呼ばれる新しい必須の ID を導入することで、そのばらつきを抑えることを目指したのです。

初期の PIV Card 関連出版物:

FIPS 201, Personal Identity Verification (PIV) of Federal Employees and Contractors (2005)

Help with Implementing the PIV Standard

PIV の実装を支援するために、NIST は、PIV card とまったく同じように動作し応答する PIV Card simulator を開発しました。さらに NIST は、application programming interface (API) を実装する PIV Middleware も開発しました。サンプル PIV data の要望に応えるため、NIST は、この標準に適合する必須および任意の PIV data 要素を生成するソフトウェアツールと、その test data を PIV cards に書き込むための data loader utility を開発しました。

NIST は、この標準が要求する PIV system component の validation を行うために、NIST Personal Identity Verification Program (NPIVP) を設立しました。この program は、承認済み test laboratories を通じて PIV 製品の試験を進めることを可能にしました。NIST と各 laboratory は conformance criteria を定め、NIST は 2006 年半ばに conformance test suites を開発・公開しました。また NIST は、試験を自動化し、laboratories 間で一貫した試験が行えるようにするためのツールも開発しました。laboratories と繰り返し test と validation を行うプロセスを通じて、NIST は PIV 標準の実装に関する追加の明確化や詳細情報を提供しました。

Improvements to the PIV Standard

初期の PIV 標準の一部がまだ策定中であった時点でさえ、すでに改善作業は始まっていました。相互運用性と明確化、すなわち異なる解釈が生じる可能性を減らすことが、多くの改善の理由でした。もうひとつの理由は暗号強度です。初期の関連出版物一式が完成に向かう中で、ギャップの発見がさらなる仕様策定につながりました。同様に、一般からのコメントは改善を促し、smart cards に対する新しい認証方式や、それを実装するために利用できる追加の暗号プロトコルに関する研究を後押ししました。

その一例として、NIST は Secure Biometric Match-On-Card (SBMOC) の feasibility study を実施し、smart card 上で生体認証用 fingerprint matching を行うことの技術的実現可能性を調査しました。これには、contactless interface を介した data transfer の性能に security が与える影響を理解することも含まれていました。その後、SBMOC はこの標準に組み込まれました。

PIV Test Suite

連邦機関や PIV 製品ベンダーは、失効した PIV cards を使った試験を行う必要がありましたが、そのような card を試験目的で入手できる人はほとんどいませんでした。このニーズに応えるため、NIST は最初の test suite として 16 枚の cards を作成しました。そのうち 9 枚は有効で、7 枚には無効な data が含まれていました。George Washington や Abraham Lincoln などの人物が描かれたこれらの card のセットは、まず beta test volunteers に提供されました。beta testing は成功し、2012 年半ばに生産が始まりました。これらの test card sets は NIST Special Database 33 として一般向けに販売されました。NIST は、政府職員が政府支給のクレジットカードで購入できる程度に、セットの価格を低く抑えることができました。初回印刷分は 1 年もたたずに売り切れとなり、需要に応えるため追加印刷が行われました。

Subsequent PIV Standard Work

PIV 標準の公開後最初の数年間は、PIV 製品サプライヤーにとっても連邦機関にとっても、学習、洗練、成長の時期でした。この期間に、300 を超える standards-conformant products が開発・validation・市場投入され、連邦機関は PIV 発行プロセスを整備し洗練させていきました。2008 年初頭までには、本番用の PIV issuance systems が稼働し、連邦政府職員および契約職員を大量に登録する運用が行われていました。

FIPS 201-2 (2013)
SP 800-157, Guidelines for Derived Personal Identity Verification (PIV) Credentials (2014)

連邦政府職員の大半の登録が完了すると、重点は PIV card の発行から、連邦 IT システム／リソースへの logical access アプリケーションおよび連邦施設への physical access アプリケーションにおける PIV Card の配備と利用へと移りました。これを後押しするため、NIST は、PIV のデモンストレーションおよび製品開発者向けチュートリアルとして利用できるダウンロード可能な software packages を作成しました。デモンストレーションには、PIV cards を使った email 署名と暗号化、website authentication、operating system への logon が含まれていました。

2010 年、NIST はこの標準の改訂プロセスを開始しました。最初の draft revision には 1000 件を超えるコメントが寄せられ、2 回目の draft には 500 件を超えるコメントが寄せられました。改訂版の標準は 2013 年 8 月に確定し、それに伴って関連出版物の改訂も進みました。その後も PIV 標準に関する作業は数多く行われました。標準に追加された最も注目すべき項目のひとつが derived PIV credentials です。これは PIV Card 上ではなく mobile devices 上に存在する PIV credentials です。連邦政府職員は日常業務でますます mobile devices を使うようになっていましたが、smart card readers が不足していたため、それらのデバイスで PIV Cards を容易に使うことはできませんでした。derived PIV credentials は、PIV 対応の mobile devices へ進むための道を示しました。mobile devices 上で derived PIV credentials を実装・展開するための技術的詳細は SP 800-157 に規定されました。

2019 年、NIST は定期的な見直しサイクルの一環として、再びこの標準の改訂プロセスを開始しました。draft revision には 400 件を超えるコメントが寄せられました。改訂版の標準は 2022 年 1 月に確定しました。第 3 改訂版では、PIV credentials の範囲がさらに拡張されました。PIV Cards 上のものや mobile devices 用のものを超える形です。連邦政府による cloud services や applications の利用に対応するには、credentials や devices の選択により大きな柔軟性が必要でした。これらは多くの場合、smart card や公開鍵基盤 (PKI) の credentials に対応していないからです。拡張された PIV credentials のセットで省庁間相互運用性を実現するため、この標準は identity federation を規定しています。拡張された PIV credentials の実装と展開に関する技術的詳細は、SP 800-157 の第 1 改訂版で規定される予定です。この標準は remote identity proofing も認めており、これは連邦コミュニティにおける teleworking の増加を支える歓迎すべき追加でした。

Electronic Authentication

近日公開

Access Control Models

IT セキュリティの基本原則のひとつは、重要なリソースへのアクセスを制御することです。言い換えれば、「誰が何をしてよいのか」という問いに答えることです。NIST の研究チームは、Role-Based Access Control (RBAC) と呼ばれる、ユーザーアクセスを制御するための新しいアプローチを作り上げ、1992 年に発表しました。RBAC でとくに注目すべきだったのは、理論モデルから商用実装・導入へと急速に進化したことでした。独立して実施された NIST 支援の経済効果分析では、RBAC 技術による純経済効果 11 億ドルが NIST に帰属すると推定されました。

Role Based Access Control (RBAC)

NIST は、世界で最も広く使われているアクセス制御モデルの開発につながる研究を開始し、セキュリティを向上させるとともに、情報保護のコストを劇的に削減しました。

1980 年代、コンピュータセキュリティに関する支配的な仕様は、DoD Trusted Computer Security Evaluation Criteria (TCSEC) でした。1990 年代初頭までには、ほぼすべての主要コンピュータベンダーが、TCSEC に照らして評価された 1 つ以上の製品を持ち、Mandatory Access Control (MAC) と Discretionary Access Control (DAC) の機能を提供していました。当時の一般的な主張は、DAC の要件によって、DoD 以外の市場におけるセキュリティニーズは満たされるというものでした。機密情報の取り扱いに関する規制は軍向けアクセス制御システムの根拠となっていましたが、商業分野のセキュリティを推進するような同等の要求体系は存在していませんでした。そこで 1992 年、NIST は文民政府機関と民間企業のセキュリティニーズを調査しました。その回答から、これらの非軍事組織では、roles を通じて users に permissions を結びつける手段が必要であり、その機能は既存システムでは提供されていないことがわかりました。特に、DAC が前提とするように end users が情報を「所有」して制御しているのではなく、実際にはユーザーは組織内の職務機能や roles に基づいて、裁量ではない形でアクセスを与えられていたのです。

アクセス制御モデルに関する主要な出版物:

Role-Based Access Controls (1992)
NISTIR 7316, Assessment of Access Control Systems (2006)
Economic Analysis of Role-Based Access Control (2010)
NISTIR 7987, Policy Machine: Features, Architecture, and Specification (2014)
SP 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations (2014)

解決策は、1992 年の NIST 論文「Role Based Access Control」（Ferraiolo and Kuhn）で提案されました。そこでは、roles、constraints、hierarchies の厳密な構造に加え、permission 関係と authorization mappings が規定されていました。roles という概念自体は 1970 年代から認識されていましたが、この論文は RBAC の起源として広く引用されています。

その公開直後、Sandhu ら (1994) は NIST RBAC Model とその将来的意義について次のように述べました。

…RBAC を applications が利用する service にするという重要な革新である。application code 全体に security を散在させるのではなく、RBAC は security を統一された service に集約し、それによってよりよく管理できるようにしつつ、個々の applications に必要な柔軟性とカスタマイズ性を提供することになる。

Sandhu らによる 1996 年の RBAC96 model framework は、モジュール化された RBAC 構造を拡張・形式化したものであり、コンピュータサイエンスにおいて最も多く引用される論文のひとつとなっています。

RBAC の価値を早期に裏づけた事例のひとつが Sybase です。NIST の Information Technology Laboratory のディレクター宛ての正式な書簡で、Sybase は「[Ferraiolo and Kuhn] の研究に基づいて自社の RBAC 機能を実装したことで、開発時間を大幅に短縮できた」と述べました。さらに Sybase は、「最近の Sybase Users Group meeting でこの RBAC 機能について説明したところ、自然発生的な拍手が起きた。コンピュータ業界全体に対して、これほど直接的かつ重大な関連性を持つ研究を行ってくれたことを祝福し、感謝する」と続けました。

実現可能性とスケールを示すために、NIST は 2 つの RBAC prototype、Role Control Center (RCC) と RBAC/Web の開発を主導しました。その影響は、RBAC の広範な技術移転に見て取れます。たとえば Microsoft によれば、「広く認知される prototype の存在によって、企業 IT アーキテクトの具体的理解が非常に大きく前進し、設計上の選択肢を検証し影響を与える、例外的に質の高い初期フィードバックを得ることができた。早い段階で十分に理解されたフィードバックを得られたことは、間違いなく業界全体にとって多額のコスト削減につながった」とされています。

NIST の出版物と RBAC96 model の機能を統合した統一 RBAC 標準は、2000 年に提案されました。workshop での議論と提案に基づき、改訂仕様が 2001 年に公開され、ANSI に標準化のため提出されました。その後 3 年にわたり、NIST は RBAC の国際標準である INCITS 359-2004 の策定を行う業界ワーキンググループを主導し、その後改訂版も出されました。

アクセス制御のためのセキュリティ強化と複雑性の低減によって、RBAC は今日に至るまで最も広く使われるアクセス制御モデルとなりました。RBAC に関する独立した経済分析では、「RBAC はアクセス制御 policy の保守をより効率化することで、2009 年に米国組織に 18 億ドルの節約をもたらした」と結論づけています。国際的には、こうした節約は数千の組織にわたってさらに積み上がります。NIST の RBAC 研究にのみ帰属する経済効果は 11 億ドルと推定されました（Research Triangle Institute）。なお、これらの数値は管理コスト削減のみを対象としています。data breaches の防止による節約効果は、これよりはるかに大きい可能性がありますが、防がれた攻撃を推定するのは実際上困難であるため、この研究には含まれていません。

RBAC がもたらした技術的進歩は、世界中の大学や産業界による広範な研究も促しました。これには、このモデルと他モデルとの関係、role structures、職務分掌の分離に関する理論分析などが含まれ、情報セキュリティの基礎知識に貢献しました。2022 年時点で、Google Scholar には RBAC を扱う会議論文および学術誌論文が 41,000 件以上掲載されており、100 本を超える博士論文の題材となっています。さらに、世界最大級のソフトウェア企業および情報技術企業が保有する数百件の特許にも関連しています。

Policy Machine and Next Generation Access Control

2000 年代初頭に RBAC が広く利用されるようになったことで大きな進歩がありましたが、課題は残っていました。当時、さまざまな policy 上および管理上の目標に合わせて、他のアクセス制御 policies や models も開発されていました。それぞれに得意分野はあったものの、表記法の違いは非常に大きいものでした。その結果、異なる models に基づくシステムについて形式的な記述を行うことも、1 つのシステムの中で複数のアクセス制御 policy model を併用することも困難でした。したがって、これらの policies や models を包括できるほど汎用的な統一形式が必要でした。この必要に応えるため、NIST は Policy Machine (PM) と呼ばれる open security architecture を提案しました。

Department of Homeland Security (DHS) の要請と支援を受けて、NIST は 2003 年に PM project を開始しました。その目的は、RBAC を含む任意の属性ベースアクセス制御 policy を構成・強制できるほど汎用的な、標準化されたアクセス制御メカニズムを追求することでした。NIST の意図は、まったく新しいアクセス制御メカニズムを考案することではなく、ほとんど、あるいはすべてのアクセス制御メカニズムに共通する抽象化、特性、機能を含むアクセス制御メカニズムを再定義し、実装し、産業界へ移転することにありました。

この取り組みの中で、PM は、複数の出版物で記述された概念から、正式な仕様へと進化し、その後、製品デモや open-source distributions を備えた reference implementation になりました。さらに Policy Machine は、Next Generation Access Control (NGAC) に関する ANSI/INCITS の標準化活動を支援する研究コンポーネントとしても機能しました。NGAC と PM は、1 つ以上の policy instance の下で objects を保護する際に、users、resources、およびそれらの attributes を policy classes に分類し、user または subject（process）からのアクセス要求に応じて呼び出される一連の固定機能によって、それらの policies を透過的に強制します。多種多様なアクセス制御 policy の組み合わせを表現し強制できるだけでなく、NGAC の機能は、任意の data services の program logic のうち security 上重要な部分を実現し、mission-tailored access control policies を data services に対して強制するためにも利用できます。そのため、非常に多様な運用環境への展開に適しています。

PM の仕様と、NIST 外を含む複数の open-source distributions が利用可能になり、さらに NGAC が国家標準として登場したことで、商用および学術的な製品が増えつつあり、すでに存在するものもあれば開発中のものもあります。とくに印象的なのは、その目的と利用環境の多様性です。展開例には次のようなものがあります。

PII に該当する自動車センサー情報の保護
世界の臨床試験データの大部分の管理と保護
工場自動化のための IoT および Edge computing を含む動的保護
Longitudinal Personal Health Records の security と privacy を守るための blockchain 対応制御
分散アーキテクチャおよび multi-cloud architectures のための完全な authorization framework の実現

Trusted Identities

2011 年 4 月にオバマ大統領が署名した National Strategy for Trusted Identities in Cyberspace (NSTIC) は、民間企業、アドボカシー団体、公共部門の機関、そのほかの組織と協力しながら、identity ecosystem の構築を通じてオンライン取引を改善するための 10 年計画でした。NSTIC のビジョンは、個人と組織が、安全で、効率的で、使いやすく、相互運用可能な identity solutions を用いてオンラインサービスへアクセスできるようにし、その過程で信頼、privacy、選択肢、そしてイノベーションを促進することでした。また、あらゆる identity solutions が従うべき指針として、privacy-enhancing かつ voluntary であること、安全かつ resilient であること、interoperable であること、そして cost-effective で使いやすいことを定義しています。

NIST は、identity solutions とその相互運用性に必要な技術に関する専門性を持っていたため、NSTIC の一部を担う組織として選ばれました。NSTIC の開始当初から、NIST は National Program Office (NPO) を務めました。2016 年には、NSTIC NPO は Trusted Identities Group (TIG) に改称されました。これは、NSTIC の 10 年計画の完了目標日を過ぎた後も、NSTIC が築いた identity ecosystem の継続的な進化と維持を NIST が支援し続けることが期待されていたためです。

NIST の主導のもとで構築されている identity ecosystem とは、個人と組織が、デジタル identity の取得と認証にあたって合意された標準と policies に従うことで、互いを信頼できるオンライン環境です。NSTIC の実施には 3 つの主要な重点領域があります。

NIST が資金提供する pilot projects を通じて、identity solutions の市場を活性化すること。最初の pilot projects 群は open competition でしたが、その後の年には identity ecosystem における重要なギャップを埋めることに重点が置かれました。たとえば 2016 年は、州政府および地方政府のサービスにおいて、安全で privacy-enhancing かつ federated identities の利用を妨げている障害に焦点を当てました。NIST はまた、他組織が pilot を評価するための助成も行っています。
民間主導の組織である Identity Ecosystem Steering Group (IDESG) を通じて、Identity Ecosystem Framework (IDEF) の開発を支援すること。NIST は、さまざまな分野から集まった数百の組織会員・個人会員とともに IDESG に参加しています。IDEF は、個人と組織が、インターネット全体で相互運用可能な、より安全で便利かつ privacy-enhancing な新世代の credentials を利用し始められるよう、基盤となる標準と policies のセットを整備しようとしています。
NSTIC に整合した identity solutions の早期導入者として連邦政府を位置づけること。これを示した当初のサイトである connect.gov は、2014 年後半に pilot phase として正式開始された hub-based federation solution でした。これは、政府機関が政府系および民間の identity providers からの federated credentials を受け入れるプロセスを容易にすることを目的としていました。その後、connect.gov は login.gov に置き換えられ、人々は単一の account を作成し、それを多数の政府 website で利用できるようになりました。