NIST SP 800-63-4とは
NIST SP 800-63-4(Digital Identity Guidelines Revision 4)は、米国国立標準技術研究所(NIST)が2025年7月に公開した、デジタルアイデンティティに関するガイドラインの最新版です。2017年公開の第3版(SP 800-63-3)を約8年ぶりに全面改訂したもので、約4年の策定プロセスと6,000件近いパブリックコメントを経て完成しました。
米国連邦政府機関のデジタル認証基盤に関する技術要件を定めたものですが、その影響範囲は米国政府に留まりません。世界中の企業・組織のデジタルアイデンティティ管理における事実上の国際標準として参照されており、日本でも金融機関、クラウドサービス事業者、政府システムのセキュリティ設計に広く影響を与えています。
2017年以降、デジタルアイデンティティを取り巻く環境は劇的に変化しました。生成AIによるディープフェイク攻撃の急増、パスキー(FIDO2)の普及、分散型ID/Verifiable Credentialsの台頭、リモートでの身元確認の一般化——これらの技術革新と新たな脅威に対応するための改訂です。
4巻構成と保証レベル
SP 800-63-4は以下の4巻構成で、それぞれ独立した保証レベル(Assurance Level)を定義しています。
| 文書 | タイトル | 対象 | 保証レベル |
|---|---|---|---|
| SP 800-63-4 | Digital Identity Guidelines(総論) | 全体のフレームワーク、リスク管理プロセス | — |
| SP 800-63A-4 | Identity Proofing(身元確認) | 申請者の実在性確認、本人確認書類の検証 | IAL1〜3 |
| SP 800-63B-4 | Authentication(当人認証) | 認証器の要件、パスワード、MFA、パスキー | AAL1〜3 |
| SP 800-63C-4 | Federation and Assertions(フェデレーション) | SAML/OIDC、アサーション、デジタルウォレット | FAL1〜3 |
3つの保証レベル
| レベル | IAL(身元確認) | AAL(当人認証) | FAL(フェデレーション) |
|---|---|---|---|
| Level 1 | 身元確認不要 | 単一要素認証でも可 | 署名付きアサーション |
| Level 2 | リモートまたは対面での本人確認 | 多要素認証(MFA)必須 | 暗号化+署名付きアサーション |
| Level 3 | 対面での厳格な本人確認 | ハードウェア認証器必須 | Holder-of-Key(鍵保持者)アサーション |
第4版でもこのIAL/AAL/FALの3軸は維持されていますが、レベル選定のプロセスが「チェックリスト方式」から「リスクベース」に大きく変わりました。
第3版からの主要変更点
第4版の変更点は広範囲にわたりますが、特に重要な7つの変更を解説します。
| # | 変更点 | 影響 |
|---|---|---|
| 1 | リスクベースのDIRM(Digital Identity Risk Management) | チェックリストからリスクベースの評価プロセスへ転換 |
| 2 | パスキー(同期可能な認証器)の正式統合 | パスキーがAAL2として公式に認定 |
| 3 | フィッシング耐性の重視 | AAL2以上でフィッシング耐性認証器を強く推奨 |
| 4 | ディープフェイク・インジェクション攻撃対策 | IAL2以上で生成AI対策(PAD+メディア分析)を要求 |
| 5 | デジタルウォレットのモデル化 | Verifiable Credentials等のユーザー管理型ウォレットをFALに統合 |
| 6 | 公平性(Equity)への配慮 | 障害者、高齢者、技術弱者にも対応する認証の多様性を要求 |
| 7 | 継続的な評価指標 | デジタルアイデンティティシステムの継続的改善メトリクスを新設 |
リスクベースのDIRM
第4版の最大の構造的変化が、DIRM(Digital Identity Risk Management)の導入です。
第3版では「このサービスにはAAL2が必要」のように、保証レベルを固定的に選定する傾向がありました。第4版では、組織のミッション、サービスの性質、ユーザー集団、脅威環境を分析した上で、IAL/AAL/FALを動的に選定するプロセスが求められます。
DIRMプロセスの4ステップ
| ステップ | 内容 |
|---|---|
| 1. コンテキスト設定 | 提供するオンラインサービスの性質、対象ユーザー、利用環境を定義 |
| 2. リスク特定 | デジタルアイデンティティに関する脅威、影響範囲を特定 |
| 3. 保証レベル選定 | リスク分析に基づき、IAL/AAL/FALのそれぞれを独立に選定 |
| 4. 継続的評価 | 運用後もメトリクスに基づいて有効性を評価し、レベルを見直す |
重要なポイントは、IAL/AAL/FALを個別に選定する点です。たとえば「身元確認はIAL2だが、認証はAAL1で十分」というケースも許容されます。3つのレベルが必ず同一である必要はありません。
パスキー(同期可能な認証器)
第4版の最大の技術的変更が、パスキー(Syncable Authenticators)の正式統合です。
従来、NISTは認証器の秘密鍵が複製されないことをセキュリティの前提としていました。しかしApple・Google・Microsoftが推進するパスキーは、秘密鍵をクラウド(Sync Fabric)経由で複数デバイスに同期する仕組みです。第4版ではこれを正式に認め、以下のように位置づけています。
| 項目 | 内容 |
|---|---|
| AAL適合レベル | 適切に要件を満たすパスキーはAAL2として認定 |
| フィッシング耐性 | FIDO2/WebAuthnベースのパスキーはフィッシング耐性あり(RP固有の鍵バインディング) |
| ユーザー検証 | パスキーの利用にはユーザー検証(生体認証 or PIN)が必要。これにより単一デバイスで「所持要素」+「生体/知識要素」の2要素を充足 |
| Sync Fabricの要件 | 鍵同期基盤には暗号化保護、アクセス制御、不正同期の検出機能が求められる |
| デバイスバウンドとの区別 | ハードウェアセキュリティキー(デバイスバウンド)はAAL3、パスキー(同期可能)はAAL2 |
NISTがパスキーをAAL2として公式認定したことは、企業や政府機関がパスキーを広範に採用するための「お墨付き」に等しい影響があります。MFAの導入を検討している組織は、パスワード+SMSの組み合わせではなく、パスキーの採用を第一候補として検討すべきです。
パスワードに関する要件(SP 800-63B-4)
パスワードに関しても第3版から継続して以下の方針が維持・強化されています。
- 最低8文字(15文字以上を推奨)
- 定期変更の強制は禁止(漏洩の証拠がない限り変更を強制しない)
- 複雑性ルール(大文字+数字+記号の強制)は禁止
- 漏洩パスワードリストとの照合を要求(Have I Been Pwnedなどのデータベースとの照合)
- SMS OTPは制限付き認証器(AAL2ではSMSより認証アプリやパスキーを推奨)
身元確認の進化(SP 800-63A-4)
身元確認(Identity Proofing)の領域では、リモート身元確認の正式認定とディープフェイク対策が大きな変更点です。
リモート身元確認の拡充
IAL2において、ビデオ通話や生体認証技術を用いたリモートでの非対面身元確認が正式な経路として認められました。従来は対面確認が主流でしたが、コロナ禍以降のリモート化の進展を反映しています。
ディープフェイク・インジェクション攻撃対策
IAL2以上のリモート身元確認では、以下の対策が要求されています。
- PAD(Presentation Attack Detection):写真、動画リプレイ、マスク等の提示型攻撃の検出
- インジェクション攻撃への対策:カメラをバイパスして偽の映像データを注入する攻撃への防御
- AI生成コンテンツの検出:提出されたメディアが生成AIによって作成されたものでないかの分析
生成AIによるディープフェイク攻撃が急増していることを受け、基本的なライブネスチェック(生存確認)だけでは不十分とNISTが明確に線引きした点は重要です。
デジタルウォレット(SP 800-63C-4)
第4版のフェデレーション領域で最も注目すべき変更は、ユーザー管理型ウォレット(Subscriber-Controlled Wallets)の追加です。
従来のフェデレーションモデルでは、IdP(認証プロバイダー)がアサーション(認証結果の証明)を直接RPに送信する構造でした。第4版では、ユーザーが自分のウォレットに格納したVerifiable Credentials(検証可能な資格情報)をRPに提示するモデルが追加されています。
| 項目 | 従来のフェデレーション | ウォレットモデル |
|---|---|---|
| データフロー | IdP → RP(直接通信) | IdP → ユーザーのウォレット → RP |
| ユーザーの制御 | 限定的(IdPが自動送信) | ユーザーが提示する属性を選択可能 |
| 適用例 | SAML、OpenID Connect | モバイル運転免許証(mDL)、Verifiable Credentials |
| フィッシング耐性 | プロトコル依存 | ウォレットが署名+宛先制限付きアサーションを生成 → フィッシング耐性あり |
これにより、将来的にはマイナンバーカードの電子証明書やモバイル運転免許証のような分散型のデジタル資格情報がフェデレーションモデルの一部として標準的に扱われる道が開かれました。
企業への影響と対応
NIST SP 800-63-4は米国連邦政府向けのガイドラインですが、日本の企業にも以下の実務的影響があります。
| 対象 | 影響 | 推奨アクション |
|---|---|---|
| Microsoft 365/Google Workspaceを運用する情シス | パスキー(AAL2)が標準認証として位置づけ | Entra ID/Google Workspaceでのパスキー(FIDO2)展開を検討 |
| SaaS事業者 | フィッシング耐性のある認証への対応が期待される | FIDO2/WebAuthn対応を実装ロードマップに追加 |
| 金融・医療機関 | IAL2のリモート身元確認でディープフェイク対策が要求 | eKYCプロバイダーのPAD/インジェクション攻撃対策能力を確認 |
| ISMS/セキュリティ担当 | パスワードポリシーの見直し(定期変更の廃止等) | 社内パスワードポリシーをNIST SP 800-63B-4に準拠させる |
| 公共IT事業者 | 政府システムの調達要件に反映される可能性 | IAL/AAL/FALの理解と対応力を確保 |
BTNコンサルティングの情シス365では、NIST SP 800-63-4に基づくパスワードポリシーの見直し、パスキー(FIDO2)の展開支援、MFA導入プロジェクトを支援しています。
→ 多要素認証(MFA)導入ガイド
→ SSO導入ガイド
まとめ
NIST SP 800-63-4は、デジタルアイデンティティ管理を「チェックリスト方式」から「リスクベースのDIRM」へ転換し、パスキーの公式認定、ディープフェイク対策、デジタルウォレットの統合など、2025年時点の技術と脅威に対応した包括的な改訂です。日本企業の情シス担当者は、まずパスワードポリシーの見直しとパスキー導入の検討から着手することを推奨します。