カジノサイト
効果的なデジタル ID リスク管理の 5 つの主要なステップ
私たちは、最も重要な個人的および職業的資産にアクセスするために、デジタル ID を毎日使用しています。これらのデジタル ID の多くは、オンライン バンキングからソーシャル メディア アカウントに至るまで、私たちとオンラインでやり取りしようとしている組織やシステムとの間に信頼を築くために使用されます。
しかし、このプロセスにはリスクがないわけではありません。コミュニケーションの誤り、事故、さらには人違いが発生する可能性があります。
これらのリスクのため、米国国立標準技術研究所 (NIST) は、デジタル ID がもたらすリスクを管理しながらデジタル ID を活用する最善の方法に関するガイダンスを提供しています。 2025 年 8 月に、NIST はその 4 番目の改訂版をリリースしました。2017 年以来の最初の改訂版。
「これらのガイドラインは最終的に、重要なオンライン サービスをより適切に保護できるオンライン リスクと管理を理解するためのフレームワークを提供することで、デジタル世界の移動をより安全かつ便利にすることを目的としています。」と a 氏は述べています。新しいガイドラインについて。
NIST はガイドラインの中で、デジタル ID リスク管理 (DIRM) プロセスの概要を共有しています。 NIST の要件を満たす効果的な DIRM を実現するために組織がとるべき 5 つの手順を概説しています。
1.オンライン サービスを定義する
まず、組織は、オンライン サービスの機能範囲、オンライン サービスがサービスを提供するユーザー グループ、各ユーザー グループが利用できるオンライン トランザクションの種類、オンライン サービスがインターフェースを通じて処理する基礎となるデータの説明を文書化する必要があります。
たとえば、患者がかかりつけ医とつながるためのオンライン医療ポータルを作成している病院は、患者がシステムをどのように使用するか、ポータルで提供されるサービス (医師への予約やフォローアップの質問など)、およびそれらのサービスを提供するためにシステムがアクセスする必要がある患者データを評価する必要があります。
組織は、オンライン サービスとその一部である広範なビジネス プロセスによって影響を受ける事業体も決定する必要があります。
「デジタル ID システムの障害により、権限のないユーザーがオンライン サービスにアクセスした場合に生じるさまざまなエンティティへの予期せぬ望ましくない影響、および影響の規模を考慮することが不可欠です」と NIST は説明しました。 「たとえば、攻撃者が発電所を制御するオンライン サービスに不正アクセスした場合、その攻撃者がとった行動は、施設の近くに住む地域住民に壊滅的な環境影響を与え、発電所がサービスを提供している地域に停電を引き起こす可能性があります。」
2.初期影響評価を実施する
このステップでは、組織はステップ 1 で文書化されたオンライン サービスの侵害に ID システムがどのような影響を与えるかを評価する必要があります。オンライン サービスの各機能は、定義された一連の危害と影響のカテゴリに基づいて評価される必要があり、各ユーザー グループは、そのユーザー グループが利用できるトランザクションに基づいて個別に検討される必要があります。評価される損害には、ミッション遂行の低下が含まれるべきである。信用、地位、名誉を毀損すること。情報への不正アクセス。経済的損失または責任。人命の損失、または人間の安全、人間の健康、または環境の健康に対する危険。
「たとえば、水処理施設の制御、運用、監視を可能にするオンライン サービスの場合、ユーザーの各グループ (施設を制御および運用する技術者、監査人および監視職員、システム管理者など) は、オンライン サービスを通じてそのユーザー グループが利用できるトランザクションに基づいて個別に考慮されます」と NIST は説明しました。 「影響分析では、悪意のある者がユーザー グループのメンバーとしてオンライン サービスへの不正アクセスを取得した場合に、考慮される影響カテゴリーごとに、影響を受けるさまざまな主体 (例: 水を飲む市民、施設を所有する組織、監査人、監視職員) に対する影響のレベル (つまり、低、中、または高) を評価します。」
3.初期保証レベルを選択
次に、組織はステップ 2 の影響カテゴリと影響レベルを評価して、オンライン サービスを不正アクセスや詐欺から保護するための初期保証レベルを決定する必要があります。これらの保証レベルを使用して、組織は、NIST 付属巻で概説されている要件に基づいて、各ユーザー グループの ID 保証レベル (ID スプーフィングによるリスクを軽減する)、認証保証レベル (認証失敗によるリスクを軽減する)、およびフェデレーション保証レベル (フェデレーション失敗によるリスクを軽減する) のベースライン制御を特定します。, そして
「組織は、認証保証レベルと認証メカニズムの適用に関する意思決定を行う際に、オンライン サービスを管理する法律、規制、またはポリシーの要件を考慮する必要があります。」と NIST は説明しました。
4.保証レベルの決定と文書化
組織は、詳細な評価を実施または活用して、プライバシー、顧客エクスペリエンス、現在の脅威環境に対する耐性に対する保証レベルとその制御の潜在的な影響を判断する必要があります。これらの結果により、最初に評価した保証レベルと、補償または補足的なコントロールの特定を変更する必要がある場合があります。次に、組織はこの情報を使用して、定義済みの実装可能な一連の保証レベルと、オンライン サービスの最終的な一連の制御を規定するデジタル ID 受諾声明を作成します。
「ID システムのコストは、DIRM プロセスの入力や継続的評価の指標として具体的には含まれていませんが、実装と長期運用のコストと費用対効果は、責任あるプログラムとリスク管理にとって本質的な考慮事項です。」と NIST は付け加えました。 「利用可能な資金とリソースに基づいて、組織はおそらく、DIRM プロセスとその出力からより効果的に情報を得ることができるトレードオフを行う必要があるでしょう。」
5.継続的な評価と改善
組織は、作成したアイデンティティ管理アプローチのパフォーマンスを収集して評価する必要があります。評価には、ビジネスへの影響、不正行為率への影響、ユーザー コミュニティへの影響を含める必要があります。これを使用して、現在の保証レベルと管理がミッション、ビジネス、セキュリティ、およびプログラムの整合性のニーズを満たしているかどうかを判断できます。このプロセスは、組織がプライバシーとアクセスに影響を与える意図しない危害を監視するのに役立ちます。組織は、新たな脅威に対抗するため、顧客エクスペリエンスを向上させるため、またはプライバシーを強化するための新しいテクノロジーや方法論への投資など、プロセスを改善できる箇所についても検討する必要があります。
「継続的な改善は、脅威とテクノロジー環境に対応し、リスク管理目標のバランスをとるために対処する必要があるプログラム上のギャップを特定するための重要なツールです」と NIST は説明しました。
ミーガン・ゲイツはセキュリティ・テクノロジーの編集長です。 で彼女とつながりましょう[email protected]または上
