トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

リスクの影響度に応じた認証方式の選択 のバックアップ(No.7)


・パスワードについて?

はじめに

基幹系システムやWebサービスの認証システムの強度は、認証情報が侵害された場合の企業や社会に及ぼす影響を考慮に入れて設定されるべきです。本項では、リスクの影響度に応じた認証方式の選択方法を解説します。また、Windows 認証を利用する際の推奨する要求事項を後述します。

リスクの影響度の検討

リスクの選択、インシデント発生時の影響に応じて許容される認証方式を決定します。

リスクの該当・非該当の選択

まず、取り扱う情報の性質やオペレーション上の特性からリスクが該当するかを検討します。必要に応じて、重要資産と考えられる情報や、それらの操作、オペレーションを追加します。

取り扱う情報や操作該当・非該当
個人情報大量、機微情報を含む人事システム、医療システム、マスター管理
限定的CRM、電子メール、デスクトップアプリケーション
知財研究結果、(顧客の)仕様書、設計書
財務情報財務システム、決算情報関連
外部から組織ネットワークへの接続VPN、リモートアクセス
管理コンソールへの接続クラウド管理コンソール、踏み台サーバー、RDP
個人に危害を加える可能性交通制御システム、プラント制御システム


インシデント発生時の影響の判定

該当する情報やオペレーションごとに別々に、情報漏洩や改ざん、オペレーションに起因する不正アクセスなどのインシデントが発生した場合の最悪の影響度を検討します。レベルがばらついた場合は、最も高いレベルを選択します。例えば、影響を受ける期間は数週間(L2)だがそれ以外の項目はL1に当てはまる場合、L2を選択します。

レベル影響を受ける期間影響を受ける範囲影響が及ぼす損害社会的信用の回復に係る期間
L1数日組織の一部に限定軽微な損害1か月程度
L2数週間組織内に限定相当程度の損害1年以内
L31か月以上組織外に影響事業継続に関わる損害1年年以上


許容される認証方式の決定

レベルが決定されたら、最上位のレベルを選択し、許容される認証を決定します。例えば、知財を取り扱う場合で、組織外に影響を及ぼす場合は、L3となるので許容される認証方式は多要素認証となり、リスクベース認証が強く推奨されます。

許容される認証方式L1L2L3
単一要素認証許容条件付き許容*使用不可
多要素認証許容推奨必須
リスクベース認証許容推奨強く推奨


使用例

具体的な使用方法を紹介します。

製造業や建築業でのCRMによる顧客管理システム

  • 個人情報:該当しますが、担当者がアクセスできる範囲は限定的で機微情報などは含まれませんので、L1もしくはL2を選択します。
  • 知財  :一部、顧客との打ち合わせ情報を入力しますが、設計図などは登録しないためL1を選択します。
          図面や資料の添付、リンクがある場合は、組織外に影響となるためL3を選択します。
  • 財務情報以下はすべて非該当です。
取り扱う情報や操作該当・非該当レベル
個人情報大量、機微情報を含む非該当
限定的該当L1 or L2
知財該当L1
財務情報非該当
外部から組織ネットワークへの接続非該当
管理コンソールへの接続非該当
個人に危害を加える可能性非該当

最も高いレベルはL2ですので、許容される認証方式は単一要素認証の場合が条件付き許容でありパスワード認証に関する要求事項(推奨)をすべて満たすか、多要素認証とリスクベース認証が推奨となります。

許容される認証方式L1L2L3
単一要素認証許容条件付き許容*使用不可
多要素認証許容推奨必須
リスクベース認証許容推奨強く推奨


交通業でのWebでの予約サイト

  • 個人情報:該当かつ大量でクレジットカードの情報も存在することから、インシデントが発生すると重大な影響を及ぼすことからL3とします。
  • 知財  :非該当です。
  • 財務情報:非該当です。
  • 外部から組織ネットワークへの接続:非該当です。
  • 管理コンソールへの接続:該当でインシデントが発生すると重大な影響を及ぼすことからL3とします。
取り扱う情報や操作該当・非該当レベル
個人情報大量、機微情報を含む該当L3
限定的非該当
知財非該当
財務情報非該当
外部から組織ネットワークへの接続非該当
管理コンソールへの接続非該当L3
個人に危害を加える可能性非該当

個人情報と管理コンソールへの接続でそれぞれL3となったため、許容される認証方式は多要素認証であり、リスクベース認証が強く推奨されます。

許容される認証方式L1L2L3
単一要素認証許容条件付き許容*使用不可
多要素認証許容推奨必須
リスクベース認証許容推奨強く推奨


Windows認証を利用する場合

Windows の実装はNIST SP800-63-3よりも古いため、パスワード認証に関する要求事項(推奨) をそのまま適合させることができません。将来に向けての変更までの経過措置として、以下の設定を推奨します。

背景と考え方

  • Active Directory の [複雑さの要件を満たす必要があるパスワード] ポリシー 本ポリシーにより、複雑さを求める設定をすることで、パスワードにIDを含ませることができなくなり、パスワードの安全性が高まります。
    一方で、パスワードの長さを8桁かつ複雑さを要求した場合は、全体の組み合わせ数が減り、推測しやすいパスワードを生み出す温床となります。
    定期変更による弊害を排除し、かつ、安全なパスワードを設定させるためには、複雑かつ長いパスワードの選択が必要です。
    多要素認証の導入した場合は、これらの複雑かつ長いパスワードは不要です。但し、多要素認証を導入した場合でも、Pass The Hass 攻撃の影響が考えられる場合は、Credential Guard による防御を検討して下さい。

Windows グループポリシーでの設定

Windows のグループポリシー [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウントポリシー]>[パスワードのポリシー]及び[アカウントロックアウトのポリシー] の設定を解説します。

Windows Hello やハードウェアトークンなどの多要素認証を導入した場合の [パスワードポリシー]

  • PIN を使用する場合、6桁以上とする
  • PIN の定期変更、履歴、複雑性は求めない、但し、個人から推測可能な誕生日、電話番号等の使用は認めず、これらを規程化する
  • アカウントロックアウトは3-5回に設定する。
  • アカウントロックアウト期間は15分以上、もしくは管理者による解除とする。

多要素認証を導入しない場合の [パスワードのポリシー]

  • [パスワードの長さ] は14桁以上を推奨する
  • [複雑さの要件を満たす必要があるパスワード] を有効にすることで SamAccountName、DisplayName を ID に含ませることができない事から、有効にする。複雑さの要件は、パスワードの変更時または作成時に強制的に適用される。
    • ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
    • 長さは 6 文字以上で適用される。
    • 次の 4 つのカテゴリのうち 3 つから文字を使う。
      • 英大文字 (A から Z)
      • 英小文字 (a から z)
      • 10 進数の数字 (0 から 9)
      • アルファベット以外の文字 (!、$、#、% など)
  • 定期的なセキュリティログ監査もしくはパスワードの漏洩・侵害検査の導入を前提に、[パスワードの有効期間]は[0日](定期変更を求めない)、[パスワードの履歴を記録する]は[0回](パスワードの履歴は求めない)とする
    • ログ監査の対象Event ID
      セキュリティログ Event ID:4625(アカウントがログオンに失敗しました)、Event ID:4776(資格情報の確認)

多要素を導入する場合の [アカウント ロックアウトのポリシー]

  • [アカウントのロックアウトのしきい値] を[5回ログオンに失敗] とする
  • [ロックアウト カウンターのリセット] を [15分後] とする
  • [ロックアウト 期間] を [15分] とする