認証器レジストリとは
1. 次世代認証連携
個々の大学や研究所それぞれで、機関全体を対象にするサービスで統合認証基盤が利用されるようになり、より高度かつ安全な利用ができないかといった要望が生じるようになりました。IdPが強固な認証を提供することにより、セキュリティの観点から今まで提供が躊躇されてきた、あるいは煩雑な認証を個別に提供してきたスーパーコピュータ、研究基盤等の各種サービスを、IdPの認証を通して利用可能な環境を構築したいという需要です。
これをうけて、学認は次世代認証基盤の研究開発に着手しました。次世代認証連携検討作業部会を組織し、実現に向けた活動を進めています。
2. Authenticator Assurance Level
次世代認証連携検討作業部会では、この一環として、より強固な認証である多要素認証を規定する学認AAL(Authenticator Assurance Level)基準運用にあたっての方針を定め、IdPを統制対象として提供しています。より高いセキュリティ水準を必要とするサービス利用のため、当人認証について一段強い基準であるAAL2を運用するためでです。
AAL2の基準は、NIST SP800-63 および Kantara KIAF1440 に従って定めています。
3. 認証器レジストリとは?
学認AAL2基準において、学認はその運用のために認証器レジストリを構築して提供することとしています。認証器レジストリは学認AAL2対応認証器と関連する諸情報が登録されたレジストリであり、学認参加IdPを対象とした情報提供を目的とします。
4. 認証器レジストリのメリット1(工数削減)
学認AAL2の認定と運用には、市場に多数流通する認証器の評価が必要です。しかし、個々の認証器について学認参加機関各自でAAL2準拠を評価することは、工数やコストの面で合理的とは言えません。
例えば評価を行おうとした場合、
- この認証器はどのタイプに該当するのか?
- この認証器は学認AAL2基準のチェック項目を満たすか?
- この認証器は単体で単要素か?多要素か?
- 運用上の問題点にはどのようなものがあるか?
- セキュリティリスクにはどんなものがあるか?
など様々な事柄を考慮する必要があります。当然ながら工数を多く必要としますし、また場合によっては専門的な知識を持つ者を起用する必要があるかもしれません。
学認が認証器の性能を調査し、AAL2基準を満たす認証に利用可能かを判定し、結果を公開して共有する認証器レジストリの提供は、工数削減や経済的な面での合理性を持つものと考えています。
5. 認証器レジストリのメリット2(情報提供源として)
また認証器レジストリは、認証器を主軸とした様々な情報提供を行います。
たとえば認証器の種類や仕組みなどの情報が提供されれば、学認参加機関は自らの目的に適した認証器の選択に利用できます。またセキュリティリスクを理解して、対策を講じることができるので、適切な運用につながります。加えて設定方法や使い方など、認証器の利用方法にかかる情報提供がなされれば、学認参加機関は認証器のスムーズな導入と運用の効率化をはかることができます。
6. まとめ
認証器レジストリは、学認においてAAL2基準を導入して運用するために、不可欠な情報提供を行います。また、継続的にメンテナンスを行って鮮度のよい情報源としての立ち位置を確保できるよう、活動をすすめる予定です。