概要
ここでレビューした文書は、 ISO/IEC 24760規格の第三部であり、要約では「識別情報の管理および識別管理システムがISO/IEC 24760-1およびISO/IEC 24760-2に準拠していることを保証するためのガイダンス」を提供すると記述されている 「実施」 に焦点を当てている。第1部および第2部は、「用語と概念」および「リファレンスアーキテクチャと要件」を含む。ISO/IEC 24760-3は、2016-08年の初版である。
キーワード:標準
引用方法:
Bagot E., (2020) 「レビュー–ISO/IEC 24760-3:2016」、 IDPro Body of Knowledge 1 (2) 。
公開
2020年6月18日
ライセンス
クリエイティブ・コモンズ表示-非営利-非派生4.0
レビュー–ISO/IEC 24760-3:2016
情報テクノロジー:セキュリティ技術:アイデンティティ管理のフレームワーク:パート3:プラクティス
「ITセキュリティとプライバシー-アイデンティティ管理のフレームワーク-パート3:実践」 International Organization for Standards、Technical Committee ISO/IEC JTC 1、Subcommittee SC 27、August 2016、https://www.iso.org/standard/57915.html。
レビュアー:Aspen Bagot
© 2020エスペン・バゴ、IDPro
レビュー
まず始めに重要なこととして、このレビューは、それまでの部分の詳細な知識を持たずに、第3部のみを見て書かれているということがある。パート3内の他のパートへの参照に基づいて、この文書は単独で使用されることを意図していないが、各パートは別々にライセンスされ販売されているため、他のパートから切り離してレビューすることで、その個々の価値を示すことができる。
ISO/IEC 24760-3は、アイデンティティ情報とアイデンティティ管理システムの両方の利用に必要な保証と管理を可能にする関連概念、運用構造、実施方法を規定することに関するISO/IEC 24760-3の目的を述べている。つまり、この文書はアイデンティティ管理のための優れたプラクティスを提供するものであり、主な対象者は、IDイニシアチブを開始しようとしている人、またはこの種の継続的なイニシアチブをより適切に制御する必要がある人となる。
アイデンティティの中で中心的かつ典型的な目標を達成するための実践を提供するというこの意図は賞賛に値するものであり、実践者によってしばしば探求されるものである。しかし、この文書はいくつかの要因のために約束を果たすことができない。最も重要な要因は、構造の不一致と各セクションの内容の不一致である。
ISO/IEC 24760-3の中核をなすのは、ID、識別子及びID情報のリスク軽減、監査、並びにコントロール目標及びコントロールについての12ページであり、コントロール及び目標に関するこの最後のセクションが主要な部分を占める。これらのセクションは、識別管理システムを設定及び維持する際に必要な作業の様々な部分についての助言 (実践) をリストし、その情報を抽出する際には、助言及び提案のチェックリストとして読むことができる多くの有用な情報がある。
課題は、その有用な情報に到達し、それを抽出することは、特に、サブセクションが情報の同じレベルまたは詳細を一貫して含まないので、従うことが困難なサブセクションにおける複雑な設定のために困難であることである。したがって、与えられたプラクティスを全体として理解すること、または与えられた状況に関連して求められる実践を見つけることは、不必要に困難である。さらに、発見された場合、そのような情報は非常に単純化されていたり、高レベルであったりする傾向がある。一例として、識別管理システムを監査するセクションでは、主に監査を行う必要があり、その目的はシステムがその要件およびポリシーに従って機能することを検証することであると述べられている。
この規格の将来の改訂では、何を表現しようとしているかを明確にすることに重点を置きつつ、セクション構造を簡素化することが有益であろう。おそらく、ほとんどの情報は本質的に非常に高レベルなので、チェックリストに近いフォーマットも有益かもしれません。
現状では、この標準は最も経験豊富な実務者にとって最も利用しやすいものである。なぜなら、実務者は文書をナビゲートするのに適しているからである。しかし、これらの実践者は情報を最も必要としていない人々でもある。なぜなら、彼らは通常、ほとんどの実践を経験からすでに知っているからである。この分野に初めて参加するほとんどの実務家は、現行 (2016-08) のISO/IEC 24760-3を規定の目的のために使用することに苦労するだろう。
この文書の本文には図がないが、これは記述されている実践が容易に視覚化されるには適していないため、妥当と思われる。
前述の文書の中核部分とは別に、ISO/IEC 24760-3の半分は、2つの附属書に取り上げられている。これらが中心的なものとしてこれまで検討されてこなかった理由は、本文の中ではこれらについて言及しておらず、また、これらが前の本文のどの部分にも直接関連していないからである。簡単に言えば、16ページのうち38ページの附属書は、あるページの長さになるように含まれているという印象を与える。
そうは言っても、付属書の2つの記事はよく書かれており、興味深い分野を網羅しています。それらが規格の規定された目的に直接関連していたならば、附属書は文書全体の勧告を保証するのに十分であろう。
参考のために、付属書は、説明図や図表を含めて、アイデンティティ(とアクセス)管理システムの連携の実践-付属文書A-と、属性ベースのクレデンシャルが何であり、それらが認証にどのように使用できるかの内訳をカバーしている。連携されたシステムの設定や、属性ベースの認証情報を扱うために特定の情報が必要な人は、おそらくこの文書を読む価値があると思うであろう。