Azure Active Directory を使用して NIST Authenticator Assurance Level 1 を達成する

米国国立標準技術研究所 (NIST) は、ID ソリューションを実装する米国政府機関の技術要件を策定します。 これらの要件を満たすことは、政府機関と協力している組織にも求められます。

Authenticator Assurance Level 1 (AAL1) の達成を試みる前に、次のリソースを参照することをお勧めします。

  • NIST の概要: さまざまな AAL レベルについて説明します。
  • 認証の基本: 重要な用語と認証の種類です。
  • NIST 認証システムの種類: 認証システムの種類それぞれについて説明します。
  • NIST AAL: AAL の構成要素と、それらの要素に対する Azure Active Directory (Azure AD) 認証方法のマッピング、トラステッド プラットフォーム モジュール (TPM) の概要について取り上げます。

許可される Authenticator の種類

AAL1 の達成には、単一要素認証または多要素認証に関して NIST で許可されている Authenticator であればどれでも使用できます。 次の表は、AAL2 および AAL3 でカバーされていないものを示したものです。

Azure AD の認証方法 NIST 認証子の種類
Password 記憶シークレット
電話 (SMS) 帯域外
FIDO 2 セキュリティ キー
iOS 用の Microsoft Authenticator アプリ (パスワードレス)
ソフトウェア TPM と Windows Hello for Business
スマート カード (Active Directory フェデレーション サービス)
多要素の暗号化ソフトウェア

ヒント

少なくとも AAL2 を満たすようにすることをお勧めします。 ビジネス上の理由、業界標準、またはコンプライアンス要件により必要な場合は、AAL3 を満たすようにします。

FIPS 140 検証

検証の要件

Azure AD では、認証に関連するすべての暗号処理に、Windows FIPS 140 レベル 1 の全体の検証が行われた暗号モジュールが使用されています。 したがって、これは、政府機関が必要としている FIPS 140 に準拠した検証ツールです。

中間者攻撃への耐性

中間者 (MitM) 攻撃への耐性を実現するために、認証要求者と Azure AD の間のすべての通信は認証済みの保護されたチャネルを介して実行されます。 これは、AAL1、AAL2、および AAL3 の MitM への耐性要件を満たしています。

次のステップ

NIST の概要

AAL について確認する

認証の基本

NIST 認証システムの種類

Azure AD を使用して NIST AAL1 を達成する

Azure AD を使用して NIST AAL2 を達成する

Azure AD を使用して NIST AAL3 を達成する