Tweet

事故や不正でこうむるリスクで4段階に分類

ID保証フレームワークの仕様を一般公開、リバティ

2008/06/24

　アイデンティティ管理の標準化を行う業界団体「リバティ・アライアンス」は6月23日、「Liberty Identity Assurance Framework」（IAF）の仕様を一般公開した。IAFでは、アイデンティティ保証を最低から最高まで4つのレベルに分けて詳細を規定している。IAFは、組織間やWebサイト間でID認証のフレームワークを相互に利用する際に、要求する信頼度を指定する枠組みを与える。

　保証レベル1では、ID認証が最低限の信頼性しかない。例えば個人ユーザーがWebサイトに登録して、そのサイトでカスタマイズページを作るようなケースでは、保証レベル1で十分と説明している。

　保証レベル2では、不正なID利用があった場合に多少のリスクがある場合に適用するもので1要素認証が適当だという。例えばWebサイトを利用して保険の受取人を変更するようなケースが相当する。

　保証レベル3では不正なID利用のリスクが大きい場合に要求するレベルで、株式のオンライン売買や特許の電子申請など高度なセキュリティが要求される場面に相当する。保証レベル3を提供するには複数要素認証が必要だ。

　保証レベル4は最高レベルの信頼性が必要な場面に適する。保証レベル3との違いは、ハードウェアによる暗号トークンの利用などが必須とされている点だ。犯罪データベースにアクセスする場合や、薬剤師が利用に法的制限がある化学物質を処方する場合などに適用する。

　IAFを適用することで、信頼できるアイデンティティ管理企業、SNS、Web 2.0アプリケーションなど、信頼性に違いあるサイト間でも、利用方法とリスクに基づいて連携しやすくなるという。リバティ・アライアンスは2008年第3四半期中に、IAF仕様に基づくアプリケーションの検証と、認定プログラムを発表予定だ。IAFはグローバルな金融サービス、政府機関、医療、IT、通信の各分野のメンバーの意見を反映しつつ、リバティ・アライアンスで開発されている。

　今後、IAFでは評価基準と認定規定の定義を行い、組織に対する各アイデンティティ保証レベルの認定を可能にしていく。具体的には、リバティ・アライアンス公認の評価者が行うアイデンティティ管理システムのIAF対応認定プログラムを利用する形になる。公式IAF対応認定プログラムは現在リバティ・アライアンスで策定作業が進められており、2008年後半に公開される予定。