タイ王国のデジタルアイデンティティガイドラインを読んでみる

昨日、第10回FIDO東京セミナーに参加しまして、そこで紹介されたタイのデジタルIDの資料が個人的にちょっと気になる内容でした。

思い立ったが吉日。早速タイ王国のデジタルアイデンティティガイドラインを読んでいこうと思います。

おことわり

• この記事は米国のデジタルアイデンティティガイドラインであるNIST SP 800-63を読んだことがある人向けの内容です。

• 超ざっくりの斜め読みです。私が気になったところだけをピックアップしていきます。

• ガイドラインはタイ語（タイ文字）で書かれており、私はもちろん読めません。機械翻訳を勘で補正しながら読んでますので正確性ゼロの情報だと思ってください。

• 記事中の訳語はなるべくETDAの表記を使っていますが「多分これやろ」と私が勝手に当ててるものもあります。

• ちなみにタイ文字はこんな感じです。マジで1ミリも読めません。

タイ文字（出典：Wikipedia）

ガイドラインの概要

まずはガイドラインの概要を簡単に。

ガイドラインは3部構成

• 以下の3部で構成されています。NIST SP 800-63-3の無印、63A、63Bに対応している感じです。63Cに相当する文書はないようです。

  • ①Digital Identity - Framework：デジタルアイデンティティの枠組みやリスクアセスメントについて書かれています。

  • ②Digital Identity –
    Identity Proofing Requirements：タイトルのとおりIdentity Proofingの要求事項が定義されています。IALの定義がNISTとは異なります。

  • ③Digital Identity – Authentication Requirements：タイトルのとおりAuthenticationの要求事項が定義されています。

• 2023年に改定されており、バージョンはいずれも3.0です。

発行者はETDA（電子取引開発庁）

• タイのETDA（Electronic Transactions Development Agency、電子取引開発庁）から発行されています。「ETDA Recomendaton on ICT Standards for Electronic Transactions」というドキュメント群があり、その一部です。

インフォグラフィックが充実

• ガイドラインの参考資料としてインフォグラフィックが用意されており、これが非常に分かりやすいです。

• ↓例えばこんな感じ。タイ語が読めなくても大体わかります。
  （もしかして識字率が低い？と勘繰りましたが、別にそんなことはないようです。）

Digital Identityの概要についてのインフォグラフィック。出典：ETDAのWebサイト

参考：ETDAのその他のガイドライン等

• ちなみに、デジタルアイデンティティ以外にも、かなりの数のガイドラインや標準が整備されていました。目についたものをピックアップして紹介します。（英語表記は全てETDAのサイトより）

  • Web Application Security Standard

  • Classification and Identification of Government Services

  • Trusted e-Commerce Merchants Guideline

  • Using XML Messages for Inter-Organizational Data Exchange

  • Electronic Signature Guideline

  • Data Structure of Verifiable Credentials and Presentations

  • Electronic Voting System

  • Core Component Specification for Data Interoperability

  • Electronic Privacy Notices and Consent

  • Biometric Technology – Part 1: Biometric Technology Usage for Personal Verification

  • Biometric Technology – Part 2: Facial Recognition Technology Usage for Personal Verification

  • Biometric Technology – Part 3: Fingerprint Recognition Technology Usage for Personal Verification

  • Biometric Technology – Part 4: Iris Recognition Technology Usage for Personal Verification

  • Electronic Delegation of Authority

  • Remote Signing Service

…すごいぜタイ王国！！

では、ここからは実際のガイドラインの中身を読んでいきます。

①Digital Identity - Framework

NIST SP 800-63-3の無印に相当するドキュメントです。

構成はだいたいNISTと同じ

• Digital Identityのモデル、構成要素、保証レベル、リスクアセスメントの枠組みなんかが書かれています。だいたいNISTと同じ感じです。

• リスク評価の6つのカテゴリもNISTとほぼ同じでした。

めっちゃ簡潔

• 書きぶりがとても簡潔で、なんと全部で21ページしかありません。NISTも見習ってくれ！（SP 800-63-3は75ページもある）

フェデレーション前提？

• モデル図でIdPとRPが別物として描かれているので、NISTでいうところのFederated Modelが前提なんでしょうか。（この辺はちゃんと読んでません。ごめんなさい。）

出典：ETDA Digital Identity - Framework

②Digital Identity –
Identity Proofing Requirements

SP 800-63Aに相当する"Identity Proofing Requirements"では、NISTと同じくIALという言葉でIdentity Proofingの保証レベルが定義されています。
ここではNISTのIALとの差異を中心にみていきます。

IAL3：対面での身元確認が必須

NISTと同じく、IAL3は対面での本人確認を求めるレベルです。

• タイのIAL3ではVerificationにおいてBiometric Data Comparisonを必須としているようです。

• 補足：Biometric Data Comparisonとは

  • Biometric Dataを用いたVerificationのことです。このガイドラインではBiometric Dataを用いた照合である"Biometric Data Comparison"と、facial image（顔写真）を用いた照合である"Visual Comparison"が使い分けられています。この用語定義は結構分かりやすい。

  • Biometric Data Comparisonでは、FMR (False Match Rate/他人受入率)が0.01以下、FNMR (False Non-Match Rate/本人拒否率)が3%以下、スプーフィングやプレゼンテーション攻撃への耐性などが要件として求められています。

他にも細かい差異はあると思いますが、まあざっくりNISTと同じだと思います。

IAL2：3段階に細分化されている

ここがこの記事の本題です。
対面だけでなくオンラインでの身元確認もできるレベル、という点はNISTと同じですが、タイのIAL2はIAL2.3、2.2、2.1の3つのサブレベルに細分化されています。

• IAL2.3：IAL3と同じくBiometric Data Comparisonが必須とされています。NISTのIAL2よりも厳しいです。

• IAL2.2：Visual ComparisonでもOKになっています。これがNISTのIAL2相当だと思います。

• IAL2.1：身分証となるIDカードやパスポートのStatus確認（たぶん有効性のチェック）が不要になるようです。

まとめると、Verificationの強度（Biometric Data Comparisonかどうか）でIAL2.3と2.2を分けて、Evidence Validationの強度（Evidenceの有効性確認を行うかどうか）でIAL2.2と2.1を分けていると解釈できそうです。

IAL1：身元確認なし

• IAL1はSP 800-63-3と同じく身元確認なしのレベルです。
  （あまりちゃんと読んでません。）

IALのまとめ（インフォグラフィック）

ガイドラインの参考資料として以下のインフォグラフィックが用意されています。タイ語は1ミリも読めませんがめっちゃ分かりやすいです。

出典：ETDA Infographic—Identity Assurance Level (IAL)

ちなみにこのドキュメントも20ページしかありません。なんと素晴らしい。
NISTの63Aは47ページ、63A-4 ipdに至っては72ページですよ。どうしてこうなった。

③Digital Identity – Authentication Requirements

NISTの63Bに相当するドキュメントです。

だいたいNISTと同じ！（たぶん）

隅々までちゃんと比較した訳ではないのですが、IALほどの差異には気づきませんでした。まあだいたいNISTと同じ気がするので、インフォグラフィックだけ載せておきます。

出典：ETDA (Authentication Assurance Level (AAL)

ちなみにこのドキュメントもたったの26ページです。本当に素晴らしい。

まとめ

IAL2の細分化が気になって調べ始めたのですが、インフォグラフィックがめちゃめちゃ良いですね。
あとはとにかくページ数が少ないのがとにかく最高です。これくらいじゃないと人間読む気がしませんよね。

また今回は局所的な調査でしたが、タイの他の取り組みやガイドラインの内容も気になってきました。
Natさんに↓のOECDのレポートを教えていただいたので、次はこれを読んでみたいと思います。

タイのデジタル・アイデンティティについてはOECD からレポートが出ていますね。ちなみに、SSOにはOpenID Connect を使っているようです。https://t.co/EboAYotDCF https://t.co/aei5sRc8jo

— Nat Sakimura/崎村夏彦 (@_nat) December 9, 2023

OECDのレポート：Assessment and recommendations | Open and Connected Government Review of Thailand | OECD iLibrary (oecd-ilibrary.org)

それでは、この記事はここまでにしたいと思います。

ขอบคุณที่อ่านจนจบ!
（最後まで読んでいただきありがとうございました！）