akon2.00βのよっぱらいの戯言

色しょく是食、食しょく是色

デジタルアイデンティティー

 

日本語のID管理は、ユーザIDとパスワードなどによってユーザ認証を行うこと矮小化されている。

 

アイデンティティー」とは、ある「属性の集合」(ISO/IEC 24760)

 

GAFAの共通点は、デジタルアイデンティティを中心に戦略を立てていること。

 

アカウンタビリティ(責任)とは、以下の三点が実現されていること。

①自社サービスではどのような仕組みを提供しており、何かが起こったとき、それを正しく説明でき、

②第三者による検証を可能にし

③もし説明が間違っていた場合には、「現状が把握できていなかった」として責任をとる。

アカウンタビリティは説明責任と訳されるが、説明する責任ではない。

 

アイデンティティ管理をする三つの理由

・貴重なリソースに対するアクセス管理

・従業員や顧客との関係の強化

・生産性の向上

 

アイデンティティ管理フレームワークの標準規格

・エンティティ認証:FIDO 2.0

アイデンティティ連携:OpenID Connect 1.0, SAML 2.0

・アクセス認可:Oauth 2.0

 

クレデンシャル

エンティティを認証する際に用いるアイデンティティ情報

 

SSI:自己主権型アイデンティティ

ユーザが自らを表す識別子や認証のための鍵を、ユーザ自身で作成する

 

SSI 10原則

Existence(存在)

Control(コントロール

Access(アクセス)

Transparency(透明性)

Persistence(永続性)

Portability(ポータビリティ)

Interoperability(インターオペラビリティ、相互運用性)

Consent(同意)

Minimization(最小化)

Protection(保護)

 

エンティティ認証の種類

・ユーザ認証

・クライアント認証

・サーバー認証

 

認証保証レベルAAL

 

NIST SP800-63-3 Digital Identity Guidelines (2017)

IALレベル 内容

IAL 3 対面での身元情報の確認が要求される。身元を識別する属性は、訓練を受けた上で認可された組織の担当者によって検証が必要。

IAL 2 主張された身元情報が現実に存在することを確認し、申請者がその実在する身元情報に適切に関連付けられていることを検証できる証拠が必要。IAL2ではリモート(遠隔)か対面での身元情報の確認が必要。

IAL 1 申請者を特定の現実の身元情報と関連付ける必要はない。認証プロセスに関連して提供されるいかなる属性も自己表明か自己表明相当。

 

Authentication  Assurance Level(当人認証保証レベル)

AALレベル 内容

AAL 3 認証要求者が加入者のアカウントに結び付けられた認証コードを管理していることが、非常に高い確信度で保証されるレベル。

AAL3は、AAL2に加え、ハードウェアベースの認証コードと検証者に偽装耐性を提供する認証コードを使用し、暗号プロトコルによる鍵の所有の証明することが必要。また、承認済みの暗号化技術が要求される。

 

AAL 2 認証要求者が加入者のアカウントに結び付けられた認証コードを管理していることが、高い確信度で保証されるレベル。

AAL2は、複数要素の認証コードを保持し管理していることをセキュアな認証プロトコルによって証明することが必要。また、承認済みの暗号化技術が要求される。

 

AAL 1 認証要求者が加入者のアカウントに結び付けられた認証コードを管理していることが、ある程度の確信度で保証されるレベル。

AAL1は、単要素か複数要素の認証コードを保持し管理していることをセキュアな認証プロトコルによって証明することが必要。

 

KYC(Know Your Customer):本人確認

IDA(アイデンティティ保証)フレームワーク

 

アクセス制御

IBAC(識別子ベースアクセス制御)

RBAC(ロールベースアクセス制御)

ABAC(属性ベースアクセス制御)

 

OpenIDは紹介状、OAuthは合鍵

 

政治家は立派な駅を作ることが票につながるから、駅の建物を立派にすることに固執する。しかし、鉄道の本質は、レール網と列車および運行システムだ。

我々は残念ながら立派な駅を作ってしまった。

 

FAPI(Financial-grade API) 2.0

・PAR:OAuth 2.0 Pushed Authorization Requests

・RAR:OAuth 2.0 Rich Authorization Requests

・Grant Management API

 

個人情報の保護(データ保護)は手段であって守るべきは、プライバシー(人権)

 

セレクティブディスクロージャ

良好な人間関係を保つためにコンテキストに応じて属性を提供する

 

Decentralized identify and self-sovereign identify

 

プライバシー 11原則

同意及び選択(Consent and choice)

目的の正当性及び明確化(Purpose legitimacy and specification)

収集制限(Collection limitation)

データの最小化(Data minimization)

利用,保持及び開示の制限(Use, retention and disclosure limitation)

正確性及び品質(Accuracy and quality)

公開性,透明性及び通知(Openness, transparency and notice)

個人参加及びアクセス(Individual participation and access

責任(Accountability)

情報セキュリティ(Information security)

プライバシーコンプライアンス(Privacy compliance

 

有効な同意とは

契約が有効であるための条件

・自律性→自由意志による同意か

互恵性→提供物は釣り合わななければならない

 

GDPR 6条 同意

https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

 

常に明示的な同意を求めると、同意の行為自体が希釈してしまって意味を持たなくなる。→クリック・トレーニン

 

プライバシー告知

ISO/IEC 29184 5章

 

JIS X 9250ではnoticeを通知と訳しているが、告知が適切

 

デジタル存在 七つの原則

・責任あるデジタル存在

・表現力のあるデジタル存在

・データの正当な取り扱い

・人間に優しい

・普及しやすい

・誰もが利益を得られる。