認証保証レベル (AAL) とは？

認証保証レベル (AAL) は、認証プロセスの強度と信頼性を記述するために使用される分類です。NISTの特別刊行物 SP 800-63-3 で定義されており、AALは組織がデジタルインタラクションに適したセキュリティレベルを決定するのに役立ちます。

AALには3つのレベルがあります。

• ユーザー認証にある程度の信頼性を提供します。
• 通常、パスワードやOTPデバイスなどの単要素認証が含まれます。

• 認証には2つの異なる要素が必要です。
• このレベルでは、リプレイ耐性や再認証時間の短縮といった追加のセキュリティ対策に対応します。
• 同期パスキーはAAL2に準拠しています。

• ハードウェアベースの認証器を使用した多要素認証が含まれます。
• 検証者なりすまし耐性や検証者危殆化耐性など、厳格なセキュリティ要件が特徴です。
• デバイス固定パスキーはAAL3に準拠しています。

各レベルは、AAL1の低リスク環境からAAL3の高いセキュリティ要求まで、さまざまなセキュリティニーズに合わせて調整されています。

---

ここでは、認証保証レベルとその意味合いについて、さらに詳しく見ていきましょう。

• 利便性が優先される低セキュリティのアプリケーションを対象としています。
• パスワードのような単純な認証形式に依存しているため、一般的なセキュリティ脅威 (例: フィッシング、中間者攻撃、クレデンシャルスタッフィングなど) に対して脆弱です。

• より高いセキュリティを必要とするトランザクションに適しています。
• 物理的要素 (例: セキュリティトークン) と知識ベースの要素 (例: パスワード) を組み合わせてセキュリティを強化します。

• 高リスク環境向けに設計されており、最大限のセキュリティを確保します。
• 高度な暗号化対策と物理的な改ざんに対するハードウェア耐性を利用します。

• NISTは、同期パスキー (例: iCloudキーチェーン経由) をAAL2準拠として承認し、デジタルエンティティのセキュリティフレームワークを強化し、パスキーのより広範な採用への道を開いています。
• パスキーは、AAL2のようにデバイス間でのパスキー同期を許可しないデバイス固定パスキーであれば、AAL3準拠の認証としてより高リスクのシナリオでも使用できます。

パスキーのAAL準拠に関する詳細は、こちらのブログをご覧ください。

---

AAL1は基本的な認証セキュリティを提供し、一般的にユーザーの利便性が優先される低リスク環境で使用されます。

AAL2は2つの異なる認証要素を要求するため、AAL1と比較して不正アクセスのリスクを大幅に削減します。

AAL3は最高レベルの認証保証であり、ハードウェアベースの認証器と、検証者なりすまし耐性などの厳格なセキュリティ対策が含まれます。

同期パスキー (例: iCloudキーチェーン経由) はAAL2として分類され、デバイス固定パスキーはAAL3準拠として分類されます。詳細はこちらのブログをご覧ください。