2025年9月8日月曜日

AAL3を満たしている製品やサービスの例を教えてください

 

代表例(ハードウェア認証器)

  • YubiKey 5 FIPS Series(FIDO2/PIV対応)
    FIPS 140-2 検証済(Overall L2/Physical L3)。ベンダはAAL3要件を満たす用途を明記。Yubico+1

  • FEITIAN FIPS対応 FIDO2/PIVキー
    FIPS 140-2 L2(Physical L3)などの検証実績があり、AAL3の多要素暗号ハードウェア条件を満たし得る。型番ごとにFIPS証跡を確認のこと。ftsafe.comFEITIAN Technologies US

  • Thales SafeNet eToken 5300(PKIトークン)
    FIPS 140-2 Overall L3検証のモデルあり(PKI+PINで多要素暗号ハードウェア)。一部は販売・証明のステータスが更新されているため調達時に現行証明を確認。NIST Computer Security Resource Centerdata-protection-updates.gemalto.com

  • PIV/CAC スマートカード(例:HID Crescendo など)
    PIVはNISTの枠組み上、AAL3プロファイルで運用可能(Derived PIVもAAL3の証明書ポリシーあり)。製品はFIPS 140-2準拠のカード/モジュールを選定。pages.nist.govNIST Publicationshidglobal.com

代表例(IdP/サービス:AAL3「対応可能」な構成)

  • Microsoft Entra ID(旧 Azure AD)
    FIDO2 セキュリティキー/スマートカード/Windows Hello for Business を用い、NIST AAL3の要件とFIPS検証に沿う構成ガイダンスを公式が提示。Microsoft Learn

  • Okta
    FIPS対応YubiKey(FIDO2/WebAuthn)CAC/PIVを使う構成でAAL3達成を案内する資料あり(商用セルでのFIPS適用範囲は別途注意)。Okta+1

  • Google Workspace/Advanced Protection
    企業/管理者向けにFIDO2セキュリティキー(Titan等)を強制でき、フィッシング耐性のある2SVを提供。AAL3要件としてはFIPS検証キー+検証器側のFIPS要件を満たす構成で運用すること。Google SupportGoogle Cloud

重要な前提(NIST 800-63Bの要点)

  • AAL3は非エクスポート鍵のハードウェア暗号認証器」「フィッシング耐性(verifier impersonation resistance)」「FIPS 140条件」「再認証≤12時間等」を要求。**検証器(サーバ側)**もFIPS 140 L1以上が必要。NIST Publicationspages.nist.gov

  • 多要素“暗号”ハードウェア認証器単体でAAL3到達し得るが、運用/ポリシー(OTPフォールバック禁止、UV必須など)を誤るとセッション自体はAAL3と見なされないpages.nist.gov

まとめ

  • デバイス例:YubiKey 5 FIPS、FEITIAN FIPSキー、Thales eToken 5300、PIV/CACカード。

  • サービス例:Entra ID/Okta(FIPS対応FIDO2やPIVでAAL3構成を提供)。

  • 留意:AAL3は製品だけでなく構成と運用で決まります(FIPS検証レベル、オリジン束縛のWebAuthn/CBA、UV必須、弱いフォールバック無効化等)。NIST Publications




Ransomware Article Abbreviations (with Importance & MFA Notes)
Abbreviation Full form (English) 日本語(説明) Category 覚える重要度 MFAの実務ポイント
AD Active Directory ディレクトリサービス Platform A(必須) MFA/条件付きアクセス・パスキー登録の中核
AAL2 Authenticator Assurance Level 2 認証保証レベル2(NIST) Identity/Security A(必須) 業務MFAの最低基準。パスキーで満たす
CISA Cybersecurity and Infrastructure Security Agency 米国サイバーセキュリティ・インフラ庁 Organization A(必須) 一次資料:フィッシング耐性MFAを推奨
MFA Multi-Factor Authentication 多要素認証 Identity/Security A(必須) 本文中核。パスキー等“釣られないMFA”を採用
NIST National Institute of Standards and Technology 米国標準技術研究所 Organization A(必須) AAL2/63Bの根拠。運用基準に直結
NIST SP 800-63B Digital Identity Guidelines NIST特別刊行800-63B Standard/Publication A(必須) AAL2/フィッシング耐性MFAの要件
NISTIR 8374 NIST Interagency/Internal Report 8374 (Ransomware Risk Management) NIST内部報告8374(ランサムウェアRM) Standard/Publication A(必須) RMでMFA・復元テストの実務を要求
PAM Privileged Access Management 特権アクセス管理 Security/Governance A(必須) 特権操作はMFA必須+承認
RDP Remote Desktop Protocol リモートデスクトップ Protocol/Tech A(必須) 公開禁止。例外はVPN後段+MFAで保護
SSH Secure Shell セキュアシェル Protocol/Tech A(必須) 鍵+MFA/SSO。管理系はMFA必須
VPN Virtual Private Network 仮想専用網 Network/Security A(必須)