Microsoft Entra ID を使用した NIST Authenticator Assurance Level 2
米国国立標準技術研究所 (NIST) は、ID ソリューションを実装する米国政府機関の技術要件の策定を行っています。 連邦政府機関と協力している組織は、これらの要件を満たしている必要があります。
Authenticator Assurance Level 2 (AAL2) を開始する前に、次のリソースを参照できます。
- NIST の概要: AAL レベルについて説明します
- 認証の基本: 用語と認証の種類
- NIST Authenticator の種類: Authenticator の種類
- NIST AAL: AAL コンポーネントと Microsoft Entra 認証方法
許可される AAL2 Authenticator の種類
次の表に、AAL2 で許可される Authenticator の種類を示します。
| Microsoft Entra の認証方法 | フィッシングに強い | NIST Authenticator の種類 |
|---|---|---|
| 推奨される方法 | ||
| 多要素ソフトウェア証明書 Windows Hello for Business (ソフトウェア トラステッド プラットフォーム モジュール (TPM) を使用) |
はい | 多要素の暗号化ソフトウェア |
| 多要素ハードウェア保護証明書 FIDO 2 セキュリティ キー macOS 用プラットフォーム SSO (Secure Enclave) Windows Hello for Business (ハードウェア TPM を使用) Microsoft Authenticator でのパスキー |
はい | 多要素の暗号化ハードウェア |
| 他の方法 | ||
| Microsoft Authenticator アプリ (電話でのサインイン) | いいえ | 多要素帯域外 |
| Password AND - Microsoft Authenticator アプリ (プッシュ通知) - OR - Microsoft Authenticator Lite (プッシュ通知) - OR - 電話 (SMS) |
いいえ | 記憶シークレット AND 単一要素帯域外 |
| Password AND - OATH ハードウェア トークン (プレビュー) - OR - Microsoft Authenticator アプリ (OTP) - または - Microsoft Authenticator Lite (OTP) - または OATH ソフトウェア トークン |
いいえ | 記憶シークレット AND 単一要素 OTP |
| Password AND - 単一要素ソフトウェア証明書 - OR - Microsoft Entra とソフトウェア TPM の結合 - OR - Microsoft Entra ハイブリッドとソフトウェア TPM の結合 - OR - 準拠モバイル デバイス |
○1 | 記憶シークレット AND 単一要素暗号化ソフトウェア |
| Password AND - Microsoft Entra とハードウェア TPM の結合 - OR - Microsoft Entra ハイブリッドとハードウェア TPM の結合 |
○1 | 記憶シークレット AND 単一要素暗号化ハードウェア |
AAL2 の推奨事項
AAL2 の場合は、多要素暗号認証システムを使用します。 これはフィッシングに強く、最大の攻撃面 (パスワード) を排除し、効率的な認証方法をユーザーに提供することができます。
パスワードレス認証方法の選択に関するガイダンスについては、「Microsoft Entra ID でパスワードレス認証のデプロイを計画する」を参照してください。 「Windows Hello for Business の展開ガイド」も参照してください
FIPS 140 検証
FIPS 140 の検証については、次のセクションを参照してください。
検証の要件
Microsoft Entra ID では、認証暗号化操作に、Windows FIPS 140 レベル 1 (総合的) の検証が行われた暗号モジュールが使用されています。 したがって、これは、政府機関が必要としている FIPS 140 に準拠した検証ツールです。
認証システムの要件
政府機関の暗号化認証システムは、FIPS 140 レベル 1 (総合的) で検証されます。 これは、非政府機関には必要ありません。 次の Microsoft Entra 認証子は、FIPS 140 承認済みモードの Windows 上で実行されている場合の要件を満たしています。
Password
ソフトウェアまたはハードウェア TPM を使用して参加した Microsoft Entra
ソフトウェアまたはハードウェア TPM を使用して参加した Microsoft Entra ハイブリッド
ソフトウェアまたはハードウェア TPM を搭載した Windows Hello for Business
ソフトウェアまたはハードウェア (スマートカード/セキュリティ キー/TPM) に格納されている証明書
Microsoft Authenticator アプリ (iOS/Android) の FIPS 140 準拠情報については、「Microsoft Entra 認証に準拠した FIPS 140」を参照してください
OATH ハードウェア トークンとスマートカードについては、ご自身のプロバイダーに現在の FIPS 検証状態についてお問い合わせいただくことをお勧めします。
FIDO 2 セキュリティ キー プロバイダーは、FIPS 認定のさまざまな段階にあります。 サポートされている FIDO 2 の主要ベンダーの一覧を確認することをお勧めします。 現在の FIPS 検証の状態については、プロバイダーに問い合わせてください。
macOS 用 Platform SSO は FIPS 140 に準拠しています。 Apple プラットフォーム認定を参照することをお勧めします。
再認証
AAL2 では、NIST はユーザーの利用状況に関係なく、12 時間ごとに再認証を必要とします。 再認証は、非アクティブな状態が 30 分以上続いた後に必要になります。 セッション シークレットはユーザーが所有しているものなので、ユーザーが知っているものまたはユーザー自身の提示が必要です。
ユーザーの利用状況に関係なく再認証の要件を満たすために、Microsoft ではユーザーのサインイン頻度を 12 時間に構成することをお勧めします。
NIST では、補正コントロールを使用して、サブスクライバーの存在を確認できます。
セッションの無通信のタイムアウトを 30 分に設定する。Microsoft System Center Configuration Manager、グループ ポリシー オブジェクト (GPO)、または Intune を使用して、オペレーティング システム レベルでデバイスをロックします。 サブスクライバーがロックを解除するには、ローカル認証が必要です。
利用状況に関係なくタイムアウトする。スケジュール化されたタスクを実行して (Configuration Manager、GPO、または Intune)、利用状況に関係なく 12 時間後にマシンをロックします。
中間者への耐性
認証要求者と Microsoft Entra ID の間の通信は、認証済みの保護されたチャネルを介して行われます。 この構成は、中間者 (MitM) 攻撃に対する耐性を提供し、AAL1、AAL2、AAL3 の MitM 耐性要件を満たしています。
リプレイへの耐性
AAL2 の Microsoft Entra 認証方法では、nonce またはチャレンジが使用されます。 これらの方法は、再生された認証トランザクションを検証者が検出できるため、再生攻撃に対する耐性があります。 このようなトランザクションには、必要な nonce や適時性のデータが含まれていません。
次のステップ
Microsoft Entra ID を使用して NIST AAL1 を実現する