・電子認証について

Last-modified: 2020-11-08 (日) 11:15:11

情報システム開発契約のセキュリティ仕様作成のためのガイドライン
詳細設定対策に必要な措置

目的 †

情報システムの認証方式設計は非常に重要です。一方で、近年、認証方式各々での課題や脆弱性に関する研究が進み、従来より安全とされていた運用において、脆弱性が存在する可能性があることが分かってきました。例えば、2017年に改訂された米国国立標準技術研究所（NIST）の電子認証ガイドライン (SP800-63B) では、従来、必要とされてきたパスワードの複雑性や定期変更に関しては非推奨（SHOULD NOT）とし、パスワードには、辞書に含まれるワードや繰り返しまたは連続した文字を含ませないことを厳格に要求（SHALL）しています。 本項では、こうした技術動向を踏まえ、システム特性に応じた認証方式を実装するため、認証方式ごとの技術的な課題や研究成果を整理し解説します。

電子認証（本人認証）の方式検討
パスワードの要件と課題
パスワード認証に関する要求事項（推奨）
リスクの影響度に応じた認証方式の選択
認証に関する用語解説・資料
漏洩パスワード TOP200 の特徴

攻撃ベクトルの研究
OWASP ASVS 4.0
最低限検討すべきデフォルト緩和策 端末編
最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編
詳細設定対策に必要な措置
MITRE ATT＆CKに基づく詳細設定対策