代表例(ハードウェア認証器)
-
YubiKey 5 FIPS Series(FIDO2/PIV対応)
FIPS 140-2 検証済(Overall L2/Physical L3)。ベンダはAAL3要件を満たす用途を明記。Yubico+1 -
FEITIAN FIPS対応 FIDO2/PIVキー
FIPS 140-2 L2(Physical L3)などの検証実績があり、AAL3の多要素暗号ハードウェア条件を満たし得る。型番ごとにFIPS証跡を確認のこと。ftsafe.comFEITIAN Technologies US -
Thales SafeNet eToken 5300(PKIトークン)
FIPS 140-2 Overall L3検証のモデルあり(PKI+PINで多要素暗号ハードウェア)。一部は販売・証明のステータスが更新されているため調達時に現行証明を確認。NIST Computer Security Resource Centerdata-protection-updates.gemalto.com -
PIV/CAC スマートカード(例:HID Crescendo など)
PIVはNISTの枠組み上、AAL3プロファイルで運用可能(Derived PIVもAAL3の証明書ポリシーあり)。製品はFIPS 140-2準拠のカード/モジュールを選定。pages.nist.govNIST Publicationshidglobal.com
代表例(IdP/サービス:AAL3「対応可能」な構成)
-
Microsoft Entra ID(旧 Azure AD)
FIDO2 セキュリティキー/スマートカード/Windows Hello for Business を用い、NIST AAL3の要件とFIPS検証に沿う構成ガイダンスを公式が提示。Microsoft Learn -
Okta
FIPS対応YubiKey(FIDO2/WebAuthn)やCAC/PIVを使う構成でAAL3達成を案内する資料あり(商用セルでのFIPS適用範囲は別途注意)。Okta+1 -
Google Workspace/Advanced Protection
企業/管理者向けにFIDO2セキュリティキー(Titan等)を強制でき、フィッシング耐性のある2SVを提供。AAL3要件としてはFIPS検証キー+検証器側のFIPS要件を満たす構成で運用すること。Google SupportGoogle Cloud
重要な前提(NIST 800-63Bの要点)
-
AAL3は「非エクスポート鍵のハードウェア暗号認証器」「フィッシング耐性(verifier impersonation resistance)」「FIPS 140条件」「再認証≤12時間等」を要求。**検証器(サーバ側)**もFIPS 140 L1以上が必要。NIST Publicationspages.nist.gov
-
多要素“暗号”ハードウェア認証器は単体でAAL3到達し得るが、運用/ポリシー(OTPフォールバック禁止、UV必須など)を誤るとセッション自体はAAL3と見なされない。pages.nist.gov
まとめ
-
デバイス例:YubiKey 5 FIPS、FEITIAN FIPSキー、Thales eToken 5300、PIV/CACカード。
-
サービス例:Entra ID/Okta(FIPS対応FIDO2やPIVでAAL3構成を提供)。
-
留意:AAL3は製品だけでなく構成と運用で決まります(FIPS検証レベル、オリジン束縛のWebAuthn/CBA、UV必須、弱いフォールバック無効化等)。NIST Publications
Abbreviation | Full form (English) | 日本語(説明) | Category | 覚える重要度 | MFAの実務ポイント |
---|---|---|---|---|---|
AD | Active Directory | ディレクトリサービス | Platform | A(必須) | MFA/条件付きアクセス・パスキー登録の中核 |
AAL2 | Authenticator Assurance Level 2 | 認証保証レベル2(NIST) | Identity/Security | A(必須) | 業務MFAの最低基準。パスキーで満たす |
CISA | Cybersecurity and Infrastructure Security Agency | 米国サイバーセキュリティ・インフラ庁 | Organization | A(必須) | 一次資料:フィッシング耐性MFAを推奨 |
MFA | Multi-Factor Authentication | 多要素認証 | Identity/Security | A(必須) | 本文中核。パスキー等“釣られないMFA”を採用 |
NIST | National Institute of Standards and Technology | 米国標準技術研究所 | Organization | A(必須) | AAL2/63Bの根拠。運用基準に直結 |
NIST SP 800-63B | Digital Identity Guidelines | NIST特別刊行800-63B | Standard/Publication | A(必須) | AAL2/フィッシング耐性MFAの要件 |
NISTIR 8374 | NIST Interagency/Internal Report 8374 (Ransomware Risk Management) | NIST内部報告8374(ランサムウェアRM) | Standard/Publication | A(必須) | RMでMFA・復元テストの実務を要求 |
PAM | Privileged Access Management | 特権アクセス管理 | Security/Governance | A(必須) | 特権操作はMFA必須+承認 |
RDP | Remote Desktop Protocol | リモートデスクトップ | Protocol/Tech | A(必須) | 公開禁止。例外はVPN後段+MFAで保護 |
SSH | Secure Shell | セキュアシェル | Protocol/Tech | A(必須) | 鍵+MFA/SSO。管理系はMFA必須 |
VPN | Virtual Private Network | 仮想専用網 | Network/Security | A(必須) |