リスクの影響度に応じた認証方式の選択のバックアップ(No.7)

・パスワードについて?

はじめに †

基幹系システムやWebサービスの認証システムの強度は、認証情報が侵害された場合の企業や社会に及ぼす影響を考慮に入れて設定されるべきです。本項では、リスクの影響度に応じた認証方式の選択方法を解説します。また、Windows 認証を利用する際の推奨する要求事項を後述します。

↑

リスクの影響度の検討 †

リスクの選択、インシデント発生時の影響に応じて許容される認証方式を決定します。

↑

リスクの該当・非該当の選択 †

まず、取り扱う情報の性質やオペレーション上の特性からリスクが該当するかを検討します。必要に応じて、重要資産と考えられる情報や、それらの操作、オペレーションを追加します。

取り扱う情報や操作		該当・非該当	例
個人情報	大量、機微情報を含む		人事システム、医療システム、マスター管理
個人情報	限定的		CRM、電子メール、デスクトップアプリケーション
知財			研究結果、（顧客の）仕様書、設計書
財務情報			財務システム、決算情報関連
外部から組織ネットワークへの接続			VPN、リモートアクセス
管理コンソールへの接続			クラウド管理コンソール、踏み台サーバー、RDP
個人に危害を加える可能性			交通制御システム、プラント制御システム

↑

インシデント発生時の影響の判定 †

該当する情報やオペレーションごとに別々に、情報漏洩や改ざん、オペレーションに起因する不正アクセスなどのインシデントが発生した場合の最悪の影響度を検討します。レベルがばらついた場合は、最も高いレベルを選択します。例えば、影響を受ける期間は数週間(L2)だがそれ以外の項目はL1に当てはまる場合、L2を選択します。

レベル	影響を受ける期間	影響を受ける範囲	影響が及ぼす損害	社会的信用の回復に係る期間
L1	数日	組織の一部に限定	軽微な損害	1か月程度
L2	数週間	組織内に限定	相当程度の損害	1年以内
L3	1か月以上	組織外に影響	事業継続に関わる損害	1年年以上

↑

許容される認証方式の決定 †

レベルが決定されたら、最上位のレベルを選択し、許容される認証を決定します。例えば、知財を取り扱う場合で、組織外に影響を及ぼす場合は、L3となるので許容される認証方式は多要素認証となり、リスクベース認証が強く推奨されます。

許容される認証方式	L1	L2	L3
単一要素認証	許容	条件付き許容*	使用不可
多要素認証	許容	推奨	必須
リスクベース認証	許容	推奨	強く推奨

単一要素認証の条件付き許容単一要素認証でパスワードを認証方式として選択する場合は、パスワード認証に関する要求事項（推奨）の要求事項のすべてを満たす必要があります。

↑

使用例 †

具体的な使用方法を紹介します。

↑

製造業や建築業でのCRMによる顧客管理システム †

個人情報：該当しますが、担当者がアクセスできる範囲は限定的で機微情報などは含まれませんので、L1もしくはL2を選択します。
知財　　：一部、顧客との打ち合わせ情報を入力しますが、設計図などは登録しないためL1を選択します。
　　　　　図面や資料の添付、リンクがある場合は、組織外に影響となるためL3を選択します。
財務情報以下はすべて非該当です。

取り扱う情報や操作		該当・非該当	レベル
個人情報	大量、機微情報を含む	非該当
個人情報	限定的	該当	L1 or L2
知財		該当	L1
財務情報		非該当
外部から組織ネットワークへの接続		非該当
管理コンソールへの接続		非該当
個人に危害を加える可能性		非該当

最も高いレベルはL2ですので、許容される認証方式は単一要素認証の場合が条件付き許容でありパスワード認証に関する要求事項（推奨）をすべて満たすか、多要素認証とリスクベース認証が推奨となります。

許容される認証方式	L1	L2	L3
単一要素認証	許容	条件付き許容*	使用不可
多要素認証	許容	推奨	必須
リスクベース認証	許容	推奨	強く推奨

↑

交通業でのWebでの予約サイト †

個人情報：該当かつ大量でクレジットカードの情報も存在することから、インシデントが発生すると重大な影響を及ぼすことからL3とします。
知財　　：非該当です。
財務情報：非該当です。
外部から組織ネットワークへの接続：非該当です。
管理コンソールへの接続：該当でインシデントが発生すると重大な影響を及ぼすことからL3とします。

取り扱う情報や操作		該当・非該当	レベル
個人情報	大量、機微情報を含む	該当	L3
個人情報	限定的	非該当
知財		非該当
財務情報		非該当
外部から組織ネットワークへの接続		非該当
管理コンソールへの接続		非該当	L3
個人に危害を加える可能性		非該当

個人情報と管理コンソールへの接続でそれぞれL3となったため、許容される認証方式は多要素認証であり、リスクベース認証が強く推奨されます。

許容される認証方式	L1	L2	L3
単一要素認証	許容	条件付き許容*	使用不可
多要素認証	許容	推奨	必須
リスクベース認証	許容	推奨	強く推奨

↑

Windows認証を利用する場合 †

Windows の実装はNIST SP800-63-３よりも古いため、パスワード認証に関する要求事項（推奨）をそのまま適合させることができません。将来に向けての変更までの経過措置として、以下の設定を推奨します。

↑

背景と考え方 †

Active Directory の [複雑さの要件を満たす必要があるパスワード] ポリシー本ポリシーにより、複雑さを求める設定をすることで、パスワードにIDを含ませることができなくなり、パスワードの安全性が高まります。
一方で、パスワードの長さを8桁かつ複雑さを要求した場合は、全体の組み合わせ数が減り、推測しやすいパスワードを生み出す温床となります。
定期変更による弊害を排除し、かつ、安全なパスワードを設定させるためには、複雑かつ長いパスワードの選択が必要です。
多要素認証の導入した場合は、これらの複雑かつ長いパスワードは不要です。但し、多要素認証を導入した場合でも、Pass The Hass 攻撃の影響が考えられる場合は、Credential Guard による防御を検討して下さい。

↑

Windows グループポリシーでの設定 †

Windows のグループポリシー [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウントポリシー]>[パスワードのポリシー]及び[アカウントロックアウトのポリシー] の設定を解説します。

↑

Windows Hello やハードウェアトークンなどの多要素認証を導入した場合の [パスワードポリシー] †

PIN を使用する場合、6桁以上とする
PIN の定期変更、履歴、複雑性は求めない、但し、個人から推測可能な誕生日、電話番号等の使用は認めず、これらを規程化する
アカウントロックアウトは3-5回に設定する。
アカウントロックアウト期間は15分以上、もしくは管理者による解除とする。

↑

多要素認証を導入しない場合の [パスワードのポリシー] †

[パスワードの長さ] は14桁以上を推奨する
[複雑さの要件を満たす必要があるパスワード] を有効にすることで SamAccountName、DisplayName を ID に含ませることができない事から、有効にする。複雑さの要件は、パスワードの変更時または作成時に強制的に適用される。
- ユーザーのアカウント名またはフルネームに含まれる 3 文字以上連続する文字列を使用しない。
- 長さは 6 文字以上で適用される。
- 次の 4 つのカテゴリのうち 3 つから文字を使う。
  - 英大文字 (A から Z)
  - 英小文字 (a から z)
  - 10 進数の数字 (0 から 9)
  - アルファベット以外の文字 (!、$、#、% など)
定期的なセキュリティログ監査もしくはパスワードの漏洩・侵害検査の導入を前提に、[パスワードの有効期間]は[0日]（定期変更を求めない）、[パスワードの履歴を記録する]は[0回]（パスワードの履歴は求めない）とする
- ログ監査の対象Event ID
  セキュリティログ Event ID:4625（アカウントがログオンに失敗しました）、Event ID:4776（資格情報の確認）

↑

多要素を導入する場合の [アカウントロックアウトのポリシー] †

[アカウントのロックアウトのしきい値] を[5回ログオンに失敗] とする
[ロックアウトカウンターのリセット] を [15分後] とする
[ロックアウト期間] を [15分] とする

リスクの影響度に応じた認証方式の選択 のバックアップ(No.7)