トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

リスクの影響度に応じた認証方式の選択 のバックアップ(No.3)


・パスワードについて?

はじめに

基幹系システムやWebサービスの認証システムの強度は、認証情報が侵害された場合の企業や社会に及ぼす影響を考慮に入れて設定されるべきです。本項では、リスクの影響度に応じた認証方式の選択方法を解説します。また、パスワード認証に関する推奨する要求事項を解説します。

リスクの影響度の検討

リスクの選択、インシデント発生時の影響に応じて許容される認証方式を決定します。

リスクの該当・非該当の選択

まず、取り扱う情報の性質やオペレーション上の特性からリスクが該当するかを検討します。必要に応じて、重要資産と考えられる情報や、それらの操作、オペレーションを追加します。

取り扱う情報や操作該当・非該当
個人情報大量、機微情報を含む人事システム、医療システム、マスター管理
限定的CRM、電子メール、デスクトップアプリケーション
知財研究結果、(顧客の)仕様書、設計書
財務情報財務システム、決算情報関連
外部から組織ネットワークへの接続VPN、リモートアクセス
管理コンソールへの接続クラウド管理コンソール、踏み台サーバー、RDP
個人に危害を加える可能性交通制御システム、プラント制御システム


インシデント発生時の影響の判定

該当する情報やオペレーションごとに別々に、情報漏洩や改ざん、オペレーションに起因する不正アクセスなどのインシデントが発生した場合の最悪の影響度を検討します。レベルがばらついた場合は、最も高いレベルを選択します。例えば、影響を受ける期間はL2数週間だが、それ以外はL1といった場合はL2を選択します。

レベル影響を受ける期間影響を受ける範囲影響が及ぼす損害社会的信用の回復に係る期間
L1数日組織の一部に限定軽微な損害1か月程度
L2数週間組織内に限定相当程度の損害1年以内
L31か月以上組織外に影響事業継続に関わる損害1年年以上


許容される認証方式の決定

レベルが決定されたら、最上位のレベルを選択し、許容される認証を決定します。例えば、知財を取り扱う場合で、組織外に影響を及ぼす場合は、L3となるので許容される認証方式は多要素認証となり、リスクベース認証が強く推奨されます。

許容される認証方式L1L2L3
単一要素認証許容条件付き許容*使用不可
多要素認証許容推奨必須
リスクベース認証許容推奨強く推奨


単一要素認証の条件付き許容

単一要素認証でパスワードを認証方式として選択する場合は、1.5パスワードの要求事項のすべてを満たす必要があります。

使用例

具体的な使用方法を紹介します。

製造業や建築業でのCRMによる顧客管理システム

  • 個人情報:該当しますが、担当者がアクセスできる範囲は限定的で機微情報などは含まれませんので、L1もしくはL2を選択します。
  • 知財  :一部、顧客との打ち合わせ情報を入力しますが、設計図などは登録しないためL1を選択します。
          図面や資料の添付、リンクがある場合は、組織外に影響となるためL3を選択します。
  • 財務情報以下はすべて非該当です。
取り扱う情報や操作該当・非該当レベル
個人情報大量、機微情報を含む非該当
限定的該当L1 or L2
知財該当L1
財務情報非該当
外部から組織ネットワークへの接続非該当
管理コンソールへの接続非該当
個人に危害を加える可能性非該当

最も高いレベルはL2ですので、許容される認証方式は単一要素認証の場合が条件付き許容であり、多要素認証とリスクベース認証が推奨となります。


交通業でのWebでの予約サイト

  • 個人情報:該当かつ大量でクレジットカードの情報も存在することから、インシデントが発生すると重大な影響を及ぼすことからL3とします。
  • 知財  :非該当です。
  • 財務情報:非該当です。
  • 外部から組織ネットワークへの接続:非該当です。
  • 管理コンソールへの接続:該当でインシデントが発生すると重大な影響を及ぼすことからL3とします。
取り扱う情報や操作該当・非該当レベル
個人情報大量、機微情報を含む該当L3
限定的非該当
知財非該当
財務情報非該当
外部から組織ネットワークへの接続非該当
管理コンソールへの接続非該当L3
個人に危害を加える可能性非該当

個人情報と管理コンソールへの接続でそれぞれL3となったため、許容される認証方式は多要素認証であり、リスクベース認証が強く推奨されます。

Windows グループポリシーでの例外

Windows のグループポリシー [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウントポリシー]>[パスワードのポリシー]及び[アカウントロックアウトのポリシー]については、以下を推奨するとともに、多要素認証の導入を強く推奨します。

多要素認証を導入しない場合の [パスワードのポリシー]

  • [パスワードの長さ] は14桁以上を推奨する
  • [複雑さの要件を満たす必要があるパスワード] を有効にすることで SamAccountName、DisplayName を ID に含ませることができない事から、有効にする
  • 定期的なセキュリティログ監査もしくはパスワードの漏洩・侵害検査の導入を前提に、[パスワードの有効期間]は[0日](定期変更を求めない)、[パスワードの履歴を記録する]は[0回](パスワードの履歴は求めない)とする
    • ログ監査の対象Event ID
      セキュリティログ Event ID:4625(アカウントがログオンに失敗しました)、Event ID:4776(資格情報の確認)

多要素を導入しない場合の [アカウント ロックアウトのポリシー]

  • [アカウントのロックアウトのしきい値] を[5回ログオンに失敗] とする
  • [ロックアウト カウンターのリセット] を [15分後] とする
  • [ロックアウト 期間] を [15分] とする

Windows Hello などの多要素認証を導入した場合

  • PIN を使用する場合、6桁以上とする
  • PIN の定期変更、履歴、複雑性は求めない、但し、個人から推測可能な誕生日、電話番号等の使用は認めず、これらを規程化する