・管理者の多要素認証 のバックアップ(No.7)
IPAセキュリティPT評価版?
システム管理者の資格情報の保護 †
システム管理者は、アカウント管理、バックアップ、アクセスコントロール管理、ログ保全など、システム運営における重要な業務を担います。攻撃者にシステム管理者の資格情報が窃取された場合、情報漏洩、情報資産の改ざん、ログの消去、踏み台による他への攻撃など、広範囲な被害が予想されます。従って、システム管理者の認証情報は、重要な情報資産や個人情報と同等以上の保護が必要です。
一方で、パスワードという知識要素の認証は、ログ分析以外に危殆化を知ることができません。例え、定期変更を設定したとしても、次に変更される時期までは、攻撃されるリスクが残ります。
そこで、多要素認証をもちいてシステム管理者の資格情報を保護し、資格情報の窃取、漏洩を防ぎ、情報資産の保全を強化することを推奨します。また、多要素認証導入までは、推測が困難な十分な長さを有するパスフレーズの利用と、ブルートフォース(総当たり)攻撃を困難にするアカウントロックアウトの設定を推奨します。
多要素認証 †
多要素認証とは、知識、所有、生体という認証要素を複数、同時に満たす必要があります。NIST SP800-63B では、次の方式、もしくは組み合わせが要求されています。
| Authenticator | 内容 |
| 多要素OTPデバイス | PIN を入力することでワンタイムパスワードを生成するデバイス |
| 多要素暗号ソフトウェア | PIN を入力することで秘匿エリアに保存された電子証明書が読み出せるソフトウェア |
| 多要素暗号デバイス | PIN を入力することで秘匿エリアに保存された電子証明書が読み出せるデバイス |
| 記憶シークレット+ルックアップシークレット | パスワードとリカバリコードの組み合わせ |
| 記憶シークレット+経路外 | パスワードとSMSによるコード送信 |
| 記憶シークレット+単一要素OTPデバイス | パスワードとワンタイムパスワード生成デバイス |
| 記憶シークレット+単一要素暗号ソフトウェア | パスワードとOSの秘匿エリアに保存された電子証明書 |
| 記憶シークレット+単一要素暗号デバイス | パスワードとデバイスの秘匿エリアに保存された電子証明書 |
- NIST SP800-63-3 の OpenID ファウンデーション・ジャパンによる邦訳: https://openid-foundation-japan.github.io/800-63-3-final/index.ja.html
管理者の資格情報の管理 †
ドメインの管理者とエンタープライズ管理者の資格情報は、明確に分離されるべきです。もし同一であったとすると、ドメインとエンタープライズの双方に被害が及ぶ可能性があるからです。また、同様の理由で Windows ドメイン以外のシステム管理者の資格情報を他の Linux などのシステムと共通にすることは、大変、危険といえます。
加えて、各管理者の権限でログオンする端末はクリーンセットアップされた専用端末とすべきです。一般業務端末は、すでに汚染されている可能性があるためです。
各管理者の権限で、以下の行為を行うことは、規程で明確に禁止されるべきです。
- 管理端末での電子メールの閲覧:フィッシングによるマルウェアの侵入を許し、かつ、管理者特権でマルウェアのインストールを許可することとなるため。
- 管理端末でのWeb の閲覧:ドライブバイダウンロード攻撃などによってマルウェアの侵入を許し、かつ、管理者特権でマルウェアのインストールを許可することとなるため。
- 一般の業務端末へのパスワードを使ったログイン:すでにマルウェアが侵入しており、Pass the Hash 攻撃やキーロガーが動作している場合、パスワードの窃取がなされてしまう。