Get your free and exclusive +30-page Authentication Analytics Whitepaper
概要に戻る

認証保証レベル (AAL) とは?

AAL (認証保証レベル) とは?

Vincent Delitz
Vincent Delitz

作成日: 2024年5月10日

更新日: 2026年5月12日

Authentication Assurance Level are a Classification used to describe the strength and reliability of authentication processes.

このページは自動翻訳されています。英語の原文は こちら.

AAL (認証保証レベル) とは?#

認証保証レベル (AAL) は、認証プロセスの強度と信頼性を記述するために使用される分類です。NISTの特別刊行物 SP 800-63-3 で定義されており、AALは組織がデジタルインタラクションに適したセキュリティレベルを決定するのに役立ちます。

AALには3つのレベルがあります。

AAL1: 基本保証#
  • ユーザー認証にある程度の信頼性を提供します。
  • 通常、パスワードやOTPデバイスなどの単要素認証が含まれます。

AAL2: 高保証#
  • 認証には2つの異なる要素が必要です。
  • このレベルでは、リプレイ耐性や再認証時間の短縮といった追加のセキュリティ対策に対応します。
  • 同期パスキーはAAL2に準拠しています。

AAL3: 最高保証#
  • ハードウェアベースの認証器を使用した多要素認証が含まれます。
  • 検証者なりすまし耐性や検証者危殆化耐性など、厳格なセキュリティ要件が特徴です。
  • デバイス固定パスキーはAAL3に準拠しています。

各レベルは、AAL1の低リスク環境からAAL3の高いセキュリティ要求まで、さまざまなセキュリティニーズに合わせて調整されています。

  • 認証保証レベル (AAL) は認証強度の指標です。
  • AAL1は基本的なセキュリティ、AAL2は2要素でそれを強化し、AAL3は多要素のハードウェアベース認証で最高のセキュリティを提供します。
  • 主な要件には、リプレイ耐性、検証者なりすまし耐性、検証者危殆化耐性が含まれます。

ここでは、認証保証レベルとその意味合いについて、さらに詳しく見ていきましょう。

AAL1: アクセシビリティとリスク#
  • 利便性が優先される低セキュリティのアプリケーションを対象としています。
  • パスワードのような単純な認証形式に依存しているため、一般的なセキュリティ脅威 (例: フィッシング、中間者攻撃、クレデンシャルスタッフィングなど) に対して脆弱です。
Substack Icon

最新ニュースを受け取るためにPasskeys Substackを購読しましょう。

購読する

AAL2: 強化されたセキュリティ対策#
  • より高いセキュリティを必要とするトランザクションに適しています。
  • 物理的要素 (例: セキュリティトークン) と知識ベースの要素 (例: パスワード) を組み合わせてセキュリティを強化します。

AAL3: 最高のセキュリティ基準#
  • 高リスク環境向けに設計されており、最大限のセキュリティを確保します。
  • 高度な暗号化対策と物理的な改ざんに対するハードウェア耐性を利用します。

パスキーに関連するAALの強化#
  • NISTは、同期パスキー (例: iCloudキーチェーン経由) をAAL2準拠として承認し、デジタルエンティティのセキュリティフレームワークを強化し、パスキーのより広範な採用への道を開いています。
  • パスキーは、AAL2のようにデバイス間でのパスキー同期を許可しないデバイス固定パスキーであれば、AAL3準拠の認証としてより高リスクのシナリオでも使用できます。

パスキーのAAL準拠に関する詳細は、こちらのブログをご覧ください。

Igor Gjorgjioski Testimonial

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

認証保証レベル (AAL) に関するよくある質問#

AAL1とは何ですか?また、どのような場合に使用されますか?#

AAL1は基本的な認証セキュリティを提供し、一般的にユーザーの利便性が優先される低リスク環境で使用されます。

AAL2はAAL1と比べてどのようにセキュリティを向上させますか?#

AAL2は2つの異なる認証要素を要求するため、AAL1と比較して不正アクセスのリスクを大幅に削減します。

AAL3の要件は何ですか?#

AAL3は最高レベルの認証保証であり、ハードウェアベースの認証器と、検証者なりすまし耐性などの厳格なセキュリティ対策が含まれます。

パスキーはAAL分類にどのような影響を与えますか?#

同期パスキー (例: iCloudキーチェーン経由) はAAL2として分類され、デバイス固定パスキーはAAL3準拠として分類されます。詳細はこちらのブログをご覧ください。

Corbado

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト:Corbado Observepasskeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectanalytics内蔵のmanaged passkeyを追加します(既存のIDPと併用)。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています(passkey有効化率+80%)。 Passkeyエキスパートに相談する

Corbadoがパスキーの展開と既存の認証スタックにどう合うかを確認できます。

Consoleを見る

この記事を共有

LinkedInTwitterFacebook

目次

関連用語

関連記事

NIST Passkeys: Synced Passkeys Recognized as AAL2-Compliant

NIST Passkeys: Synced Passkeys Recognized as AAL2-Compliant

Vincent Delitz - 2024年4月24日

FSC Standard No. 29: MFA for Australian Super Funds

FSC Standard No. 29: MFA for Australian Super Funds

Vincent Delitz - 2024年7月10日

Essential Eight Passkeys: Phishing-Resistant MFA

Essential Eight Passkeys: Phishing-Resistant MFA

Vincent Delitz - 2024年7月6日

Continuous Passive Authentication explained

Continuous Passive Authentication explained

Vincent Delitz - 2025年5月23日

WebAuthn Origin Validation in the Context of Native Apps

WebAuthn Origin Validation in the Context of Native Apps

Amine - 2025年4月24日