NIST SP 800-63-4 最終版がリリース
以前「誰が「パスワードは複雑なものにしろ」と言ったのか」でちょろんと紹介した NIST SP 800-63-4 の最終版が2025年7月に公開されたようだ。 見落としてたよ。
- SP 800-63-4, Digital Identity Guidelines | CSRC
- NIST SP 800-63 Digital Identity Guidelines
- Let’s get Digital! Updated Digital Identity Guidelines are Here! | NIST
これは以前の NIST SP 800-63-3 を置き換える内容となっている。 NIST のブログ記事によると,主な変更点は以下の通りらしい。
- Updates to context setting for risk management, reframed risk management processes, and new expectations for greater cross-functional engagement.
- New recommended continuous evaluation metrics.
- Expanded fraud requirements and recommendations for identity proofing processes.
- Restructured identity proofing controls to better define roles and types of identity proofing.
- Added controls for addressing injection attacks and forged media (e.g., “deep fakes”).
- Integration of syncable authenticators (e.g., synced passkeys).
- Representation of subscriber-controlled wallets in the federation model.
とりあえずこの記事ではリンクのみ指示しておく。 そのうち詳しく話す機会があるかもしれない。
ブックマーク
-
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63B-3」にパスキーが登場|ブログ|NRIセキュア
-
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<全体編>|ブログ|NRIセキュア
-
Authenticator と AAL : SP 800-63-3 バージョン
参考図書
- セキュリティはなぜやぶられたのか
- ブルース・シュナイアー (著), 井口 耕二 (翻訳)
- 日経BP 2007-02-15
- 単行本
- 4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN)
- 評価
原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので,そのへんを加味して読むとよい。
