NIST SP 800-63 の全体像：なぜこのガイドラインが世界基準として参照されるのか

NIST SP 800-63 とは何か？

デジタルアイデンティティやセキュリティに関わる仕事をしていると、必ず耳にするのが**「NIST SP 800-63」**という文書名です。

NIST（ニスト）とは、米国国立標準技術研究所（National Institute of Standards and Technology）の略称であり、米国の科学技術分野における国家規格を策定する政府機関です。そのNISTが発行する「SP 800（Special Publication 800）」シリーズはコンピュータセキュリティに関するガイドライン集であり、その中の 「63番（SP 800-63：Digital Identity Guidelines）」 がデジタルアイデンティティを専門に扱っています。

なぜ「一国のガイドライン」が世界基準（デファクトスタンダード）なのか？

NIST SP 800-63 は本来、米国の連邦政府機関がシステムを構築・調達する際のルールブックとして作成されました。しかし現在では、米国政府にとどまらず、世界中の民間企業や他国の政府機関がこのガイドラインを「事実上の世界標準（デファクトスタンダード）」として参照しています。その理由は大きく3つあります。

1. 体系的かつ論理的な分類: 「認証」や「本人確認」という曖昧になりがちな概念を、IAL（身元確認）、AAL（当人認証）、FAL（連携）という3つの独立したレベルに明確に切り分け、それぞれに定量的な基準を設けた画期的なフレームワークだからです。
2. 最新の脅威に対する適応力: 数年ごとに大規模な改訂（Revision）が行われ、フィッシング詐欺やディープフェイクといった最新のサイバー攻撃手法に対する最も効果的な防御策（ベストプラクティス）がいち早く反映されるためです。
3. ベンダーニュートラル（公平性）: 特定の企業の製品や特許技術に依存せず、普遍的な暗号理論やオープンなプロトコル（FIDOやOIDCなど）に基づいた要件定義が行われているため、誰もが納得して採用できるからです。

SP 800-63 を構成する「4つの文書」

現在の SP 800-63 は、非常にボリュームが大きいため、目的別に4つの分冊に分かれています。

• SP 800-63 (ベース文書): ガイドライン全体の概要と、リスクアセスメント（システムにどのレベルのセキュリティが必要かを判断する方法）について解説しています。
• SP 800-63A (Enrollment and Identity Proofing): ユーザーをシステムに登録し、その人が「現実世界の誰なのか」を確認するプロセス（身元確認：IAL）について規定しています。
• SP 800-63B (Authentication and Lifecycle Management): 登録済みのユーザーがログインする際のパスワードや多要素認証の強度（当人認証：AAL）について規定しています。
• SP 800-63C (Federation and Assertions): 複数のシステム間で安全に認証情報を受け渡す技術（シングルサインオンやSAML, OIDCなど：FAL）について規定しています。

デジタルサービスのセキュリティ要件を定義する際、このガイドラインの概念と用語を正しく理解しておくことは、すべてのITプロフェッショナルにとって必須の教養と言えます。