Authenticator の保証レベル
米国国立標準技術研究所 (NIST) は、ID ソリューションを実装する米国政府機関の技術要件の策定を行っています。 NIST SP 800-63B には、Authenticator Assurance Level (AAL) フレームワークを使用したデジタル認証の実装に関する技術的なガイドラインがあります。 AAL はデジタル ID の認証の強度を特徴付けしたものです。 失効を含む認証ライフサイクル管理についても学習できます。
標準には、以下のカテゴリの AAL 要件が含まれています。
許可される Authenticator の種類
Federal Information Processing Standards 140 (FIPS 140) 検証レベル。 FIPS 140 の要件は、FIPS 140-2 以降のリビジョンによって満たされます。
再認証
セキュリティ コントロール
中間者攻撃 (MitM) への耐性
検証ツール偽装への耐性 (フィッシングへの耐性)
検証ツール侵害への耐性
リプレイへの耐性
認証意図
記録アイテム保有ポリシー
プライバシー管理
環境内の NIST AAL
一般に、AAL1 はパスワードのみのソリューションを受け入れるため、推奨されておらず、最も侵害されやすい認証です。 詳細については、「あなたの Pa$$word は関係ありません」というブログ記事を参照してください。
NIST では、AAL3 までの検証ツールの偽装 (資格情報のフィッシング) への耐性を必要としませんが、すべてのレベルでこの脅威に対処することが推奨されます。 デバイスを Microsoft Entra ID またはハイブリッド Microsoft Entra ID に参加させる必要があるなど、検証者の偽装耐性を提供する認証子を選択できます。 Office 365 を使用している場合は、Office 365 Advanced Threat Protection、フィッシング対策ポリシーを使用できます。
組織に必要な NIST AAL を評価する際には、組織全体が NIST の標準を満たす必要があるかどうかを検討してください。 特定のユーザーのグループとリソースを分離できる場合は、それらのユーザー グループとリソースに NIST AAL の構成を適用できます。
ヒント
少なくとも AAL2 を満たすようにすることをお勧めします。 ビジネス上の理由、業界標準、またはコンプライアンス要件により必要な場合は、AAL3 を満たすようにします。
セキュリティ コントロール、プライバシー管理、レコード保持ポリシー
Azure と Azure Government は、NIST SP 800-53 High Impact レベルの P-ATO (Provisional Authority to Operate) を合同認定委員会から獲得しています。 この FedRAMP 認定は、Azure と Azure Government が機密性の高いデータを処理することを認可しています。
重要
Azure および Azure Government の認定は、AAL1、AAL2、AAL3 のセキュリティ コントロール、プライバシー管理、記録アイテム保有ポリシーの要件を満たしています。
Azure と Azure Government の FedRAMP 監査には、対象サービスのインフラストラクチャ、開発、運用、管理、およびサポートのための情報セキュリティ管理システムが含まれます。 P-ATO が与えられている場合、クラウド サービス プロバイダーは、提携している政府機関からの認可 (ATO) が必要となります。 政府機関、または組織は、それぞれのセキュリティ認可プロセスで Azure P-ATO を使用し、FedRAMP の要件を満たす機関 ATO を発行するための基礎としてそれを利用できます。
Azure では、FedRAMP High Impact で複数のサービスをサポートしています。 Azure パブリック クラウドの FedRAMP High は米国政府のお客様のニーズを満たしますが、より厳格な要件を持つ機関は Azure Government を使用します。 Azure Government セーフガードには、職員のスクリーニングの強化が含まれます。 Azure Government では、Microsoft は利用可能な Azure パブリック サービス (FedRAMP High 境界まで) と、本年度のサービスを一覧表示します。
さらに、Microsoft は、明確に規定されたレコード保持ポリシーによって、顧客データの保護と管理にコミットしています。 Microsoft には、大規模なコンプライアンス ポートフォリオがあります。 詳細については、「Microsoft コンプライアンス認証」を参照してください。
次のステップ
Microsoft Entra ID を使用して NIST AAL1 を実現する