NIST SP 800-63 Rev.4が最終版に。AAL要件の再整理と「パスキー/ウォレット/継続評価」の扱い明確化。特に“同期(sync)可能”資格情報やエクスポート可否の要件が追加されました。NIST Pages
-
端末内の加入者管理型ウォレット=多要素暗号認証器として扱い得る。解錠(PIN/生体)→ウォレットが発行する署名付き・オーディエンス制限アサーションでフィッシング耐性を満たす整理。クラウド托管のみのウォレットは暗号学的MFAとは見なさず、連携アサーションとして扱う旨が明記。NIST Publications
-
同期パスキーとAAL:鍵を“同期ファブリック”に保管できる設計が規定されつつ、AAL3は非エクスポート鍵+隔離実行環境が要件。実務上、同期パスキーはAAL2相当、HWキー常用でAAL3という線引きが現実的です。NIST Publications+1
-
OTPは非フィッシング耐性の立場を再確認(TOTP/SMS含む)。高リスク操作はFIDO/WebAuthnや上記ウォレット連携へ。NIST Publications
-
Web3側の前進:ERC-4337の普及でスマートアカウント運用が一般化、Pectra/EIP-7702でEOAの一時的委任・ガススポンサー等が容易に。パスキー連携のCoinbase Smart Walletなど、種々のウォレットがWebAuthnを正面採用。AlchemyLedgerCircleCoinbase
-
VC 2.0がW3C勧告に到達。SP 800-63C Rev.4の連携要件と相まって、eKYC/資格提示→ウォレット→AAL/FAL整合の設計がしやすくなりました。W3CNIST Computer Security Resource Center
実務ヒント(超短縮)
-
既定はAAL2+フィッシング耐性(端末内パスキー/ウォレット)。高額送金・権限移譲はAAL3(非エクスポートHW鍵)。NIST Publications
-
クラウド托管のみはMFA扱いにできない前提でFAL側の保証(署名・オーディエンス制限)を強化。NIST Publications
-
回復設計(マルチデバイス、リカバリ鍵、委任)を4337/7702前提で用意。Circle
-
OTPは補助に留め、重要操作はOrigin束縛系に統一。NIST Publications
