リスクの影響度に応じた認証方式の選択 のバックアップの現在との差分(No.7)

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• リスクの影響度に応じた認証方式の選択 へ行く。
  • 1 (2020-07-23 (木) 12:50:29)
  • 2 (2020-07-23 (木) 13:31:12)
  • 3 (2020-07-24 (金) 13:45:58)
  • 4 (2020-07-25 (土) 14:38:08)
  • 5 (2020-07-27 (月) 14:45:11)
  • 6 (2020-07-28 (火) 16:28:29)
  • 7 (2020-07-29 (水) 11:37:56)
  • 8 (2020-07-30 (木) 14:37:56)
  • 9 (2020-08-10 (月) 15:30:43)
  • 10 (2020-08-10 (月) 16:41:16)
  • 11 (2020-08-11 (火) 11:25:17)
  • 12 (2020-08-11 (火) 13:24:43)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-07-29T11:37:56+09:00","","")
[[・パスワードについて]]
#freeze
#author("2020-11-11T14:47:48+09:00","","")
[[・電子認証について]]

*はじめに [#g5cebb65]
基幹系システムやWebサービスの認証システムの強度は、認証情報が侵害された場合の企業や社会に及ぼす影響を考慮に入れて設定されるべきです。本項では、SP800-63を参考にし、リスクの影響度に応じた認証方式の選択方法を解説します。また、Windows 認証を利用する際は、[[こちら>パスワード認証に関する要求事項（推奨）#b1751c60]]を参照してください。
*リスクの影響度の検討 [#s8e5cff4]
今後、構築されるアプリケーションの認証方式の選択の際には、以下の検討ポイントを参考に、文書化することを推奨します。なお、強度が低くなるテーラリングをする際は、その理由を明確にして文書化し、ユーザーとベンダーで共有し合意してください。&br;
また、テーラリングの際は、[[脅威からAuthenticator を守る手段>電子認証（本人認証）の方式検討#wed0826a]]を参照してください。
**認証方式に係る検討ポイント [#bd98abcb]
アプリケーションの認証方式を検討する際には、認証方式を取り巻く様々なリスクポイントを検討する必要があります。但し、認証方式がどのようなシステム環境で実装されるのかによって検討すべきポイントも異なるため、本書で全てのポイントを網羅することはできません。よって、ここではどのシステムにおいても最低限検討することが推奨される3つのポイントに基づき、具体的な検討例を紹介します。

*はじめに [#f86e4ee3]
基幹系システムやWebサービスの認証システムの強度は、認証情報が侵害された場合の企業や社会に及ぼす影響を考慮に入れて設定されるべきです。本項では、リスクの影響度に応じた認証方式の選択方法を解説します。また、Windows 認証を利用する際の推奨する要求事項を後述します。
*リスクの影響度の検討 [#m06bda88]
リスクの選択、インシデント発生時の影響に応じて許容される認証方式を決定します。
**リスクの該当・非該当の選択 [#e7ce2ef1]
まず、取り扱う情報の性質やオペレーション上の特性からリスクが該当するかを検討します。必要に応じて、重要資産と考えられる情報や、それらの操作、オペレーションを追加します。
***認証によりアクセス可能となるデータの種別 [#d3291782]
認証によりアクセス可能となるデータが漏洩、破壊・改ざんされることに伴うリスクを検討します。例えば、個人情報や知財情報・営業機密等、機微性の高い情報は一般的にリスクが高いと考えられます。また、本番システム環境の設定ファイル等についても、該当ファイルが破壊・改ざんされた場合、システムの継続性が損なわれることが考えられるため、リスクが高いと考えられます。

|>|BGCOLOR(blue):COLOR(WHITE):CENTER:取り扱う情報や操作|BGCOLOR(blue):COLOR(WHITE):CENTER:該当・非該当|BGCOLOR(blue):COLOR(WHITE):CENTER:例|h
|個人情報|大量、機微情報を含む||人事システム、医療システム、マスター管理|
|~|限定的||CRM、電子メール、デスクトップアプリケーション|
|>|知財||研究結果、（顧客の）仕様書、設計書|
|>|財務情報||財務システム、決算情報関連|
|>|外部から組織ネットワークへの接続||VPN、リモートアクセス|
|>|管理コンソールへの接続||クラウド管理コンソール、踏み台サーバー、RDP|
|>|個人に危害を加える可能性||交通制御システム、プラント制御システム|
&br;
**インシデント発生時の影響の判定 [#macd5ba5]
該当する情報やオペレーションごとに別々に、情報漏洩や改ざん、オペレーションに起因する不正アクセスなどのインシデントが発生した場合の最悪の影響度を検討します。レベルがばらついた場合は、最も高いレベルを選択します。例えば、影響を受ける期間は数週間(L2)だがそれ以外の項目はL1に当てはまる場合、L2を選択します。
|60|120|120|140|200|c
|BGCOLOR(blue):COLOR(WHITE):CENTER:レベル|BGCOLOR(blue):COLOR(WHITE):CENTER:影響を受ける期間|BGCOLOR(blue):COLOR(WHITE):CENTER:影響を受ける範囲|BGCOLOR(blue):COLOR(WHITE):CENTER:影響が及ぼす損害|BGCOLOR(blue):COLOR(WHITE):CENTER:社会的信用の回復に係る期間|
|CENTER:L1|CENTER:数日|CENTER:組織の一部に限定|CENTER:軽微な損害|CENTER:1か月程度|
|CENTER:L2|CENTER:数週間|CENTER:組織内に限定|CENTER:相当程度の損害|CENTER:1年以内|
|CENTER:L3|CENTER:1か月以上|CENTER:組織外に影響|CENTER:事業継続に関わる損害|CENTER:1年年以上|
***認証を行う際のアクセス経路 [#w0d9713a]
認証を行う際のアクセス経路にも様々なパターンが想定されます。例えば、社内ネットワークにおける特定の端末からのみアクセスを行うのか、または不特定多数の端末から社外のネットワークを介してアクセスを行うのかによって、リスクの軽重は異なります。そのため、どのようなアクセス経路のもとで認証が行われるのかという観点から、認証方式に求めるセキュリティ水準（リスクの高低）を検討する必要があります。

&br;
***認証により付与される権限の種類 [#r3cf9fb8]
認証によって付与される権限が具体的にどのような操作を許可されているのかについても検討すべきです。操作を制限された一般権限(Users Group等)のみが付与されるのか、あるいは全ての操作を許可された管理者権限（Administrators Group等）が付与されるのかによっても、認証方式に求められるセキュリティ水準（リスクの高低）は異なると言えます。

**許容される認証方式の決定 [#b8707b09]
レベルが決定されたら、最上位のレベルを選択し、許容される認証を決定します。例えば、知財を取り扱う場合で、組織外に影響を及ぼす場合は、L3となるので許容される認証方式は多要素認証となり、リスクベース認証が強く推奨されます。
|140|120|120|120|c
|BGCOLOR(blue):COLOR(WHITE):CENTER:許容される認証方式|BGCOLOR(blue):COLOR(WHITE):CENTER:L1|BGCOLOR(blue):COLOR(WHITE):CENTER:L2|BGCOLOR(blue):COLOR(WHITE):CENTER:L3|
|単一要素認証|CENTER:許容|CENTER:条件付き許容*|BGCOLOR(BLACK):COLOR(WHITE):CENTER:使用不可|
|多要素認証|CENTER:許容|CENTER:推奨|CENTER:必須|
|リスクベース認証|CENTER:許容|CENTER:推奨|CENTER:強く推奨|
**検討例 [#m56b313d]
例えば、上記のポイントを以下のように分類し、それぞれスコアリングします。
|150|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:検討ポイント|COLOR(WHITE):BGCOLOR(#44546A):CENTER:高リスク|COLOR(WHITE):BGCOLOR(#44546A):CENTER:低リスク|h
|①データの種別|1点（個人情報や本番環境設定ファイル等、漏洩、破壊・改ざんに伴う影響の大きいデータ）|0点（左記以外の、公開情報や一時ファイル等、漏洩、破壊・改ざんに伴う影響が小さいデータ）|
|②アクセス経路|1点（外部ネットワークからの不特定多数によるアクセス）|0点（社内ネットワークからの特定関係者によるアクセス)|
|③権限の種類|1点（管理者権限等、全ての操作が許可される権限の付与）|0点（一般権限等、操作が制限された権限の付与）|
&br;
-単一要素認証の条件付き許容
単一要素認証でパスワードを認証方式として選択する場合は、[[パスワード認証に関する要求事項（推奨）]]の要求事項のすべてを満たす必要があります。
*使用例 [#k6037a63]
具体的な使用方法を紹介します。
**製造業や建築業でのCRMによる顧客管理システム [#h3174b89]


-個人情報：該当しますが、担当者がアクセスできる範囲は限定的で機微情報などは含まれませんので、L1もしくはL2を選択します。
-知財　　：一部、顧客との打ち合わせ情報を入力しますが、設計図などは登録しないためL1を選択します。~
　　　　　 図面や資料の添付、リンクがある場合は、組織外に影響となるためL3を選択します。
-財務情報以下はすべて非該当です。
各検討ポイントのスコアを合算した際に、スコアの合計値が高ければ、認証方式を取り巻くリスクが高いことになり、認証方式に求められるセキュリティ水準も高くすべきと判断します。
&br;

|>|BGCOLOR(blue):COLOR(WHITE):CENTER:取り扱う情報や操作|BGCOLOR(blue):COLOR(WHITE):CENTER:該当・非該当|BGCOLOR(blue):COLOR(WHITE):CENTER:レベル|h
|個人情報|大量、機微情報を含む|非該当||
|~|限定的|該当|L1 or L2|
|>|知財|該当|L1|
|>|財務情報|非該当||
|>|外部から組織ネットワークへの接続|非該当||
|>|管理コンソールへの接続|非該当||
|>|個人に危害を加える可能性|非該当||

最も高いレベルはL2ですので、許容される認証方式は単一要素認証の場合が条件付き許容であり[[パスワード認証に関する要求事項（推奨）]]をすべて満たすか、多要素認証とリスクベース認証が推奨となります。
|140|120|120|120|c
|BGCOLOR(blue):COLOR(WHITE):CENTER:許容される認証方式|BGCOLOR(blue):COLOR(WHITE):CENTER:L1|BGCOLOR(blue):COLOR(WHITE):CENTER:L2|BGCOLOR(blue):COLOR(WHITE):CENTER:L3|
|単一要素認証|CENTER:許容|CENTER:条件付き許容*|BGCOLOR(BLACK):COLOR(WHITE):CENTER:使用不可|
|多要素認証|CENTER:許容|CENTER:推奨|CENTER:必須|
|リスクベース認証|CENTER:許容|CENTER:推奨|CENTER:強く推奨|
|RIGHT:90|90||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:リスクスコア|COLOR(WHITE):BGCOLOR(#44546A):CENTER:リスクの程度|COLOR(WHITE):BGCOLOR(#44546A):CENTER:認証のイメージ（例）|h
|3点|CENTER:高|不特定多数が外部ネットワークを経由して、個人情報等、または本番環境設定ファイル等の高リスクのデータへアクセスできる管理者権限を付与されるケース|
|2点|CENTER:中|・個人情報等、高リスクのデータへ管理者権限をもってアクセス可能だが、社内ネットワークにおける特定端末からのみしかアクセスができないケース&br;・外部ネットワークから不特定多数が個人情報等、高リスクのデータへアクセス可能だが、一部の情報のみ参照が可能な、制限された権限が付与されるケース|
|1点|CENTER:小|・個人情報等、高リスクへのデータのアクセスはできない一般権限が付与されているが、外部ネットワークから不特定多数のアクセスを許可するケース&br;・管理者権限が付与されているが、社内ネットワークにおける特定端末から、機微性の低い一般情報へのみアクセスが許可されるケース|
|0点|CENTER:軽微|特定の関係者が社内ネットワークを経由して、公開情報、または開発環境の一時ファイル等へアクセスできる一般権限が付与されるケース|
&br;
*許容される認証方式の決定 [#hb7f0bf3]
電子認証の実装方法として、アクティブ認証とパッシブ認証が挙げられます。前者は単一要素認証、多要素認証、後者はリスクベース認証が一般的にあげられますが、昨今の脅威に鑑みると、リスクの大小にかかわらずアクティブ認証については多要素認証実装をデフォルトとし、さらにリスクが特に高い場合には、パッシブ認証の併用の検討も必要です。&br;
しかし、既存システムの改修や新規調達システムが扱う情報重要度、アクセス経路、権限により単一要素認証実装を許容できる場合があるため、前項で得られた点数に基づき、認証方式を決定します。また、適宜、[[脅威からAuthenticator を守る手段>電子認証（本人認証）の方式検討#wed0826a]]を参照し、強化してください。
&br;

**交通業でのWebでの予約サイト [#ycf81c30]

-個人情報：該当かつ大量でクレジットカードの情報も存在することから、インシデントが発生すると重大な影響を及ぼすことからL3とします。
-知財　　：非該当です。
-財務情報：非該当です。
-外部から組織ネットワークへの接続：非該当です。
-管理コンソールへの接続：該当でインシデントが発生すると重大な影響を及ぼすことからL3とします。


|>|BGCOLOR(blue):COLOR(WHITE):CENTER:取り扱う情報や操作|BGCOLOR(blue):COLOR(WHITE):CENTER:該当・非該当|BGCOLOR(blue):COLOR(WHITE):CENTER:レベル|h
|個人情報|大量、機微情報を含む|該当|L3|
|~|限定的|非該当||
|>|知財|非該当||
|>|財務情報|非該当||
|>|外部から組織ネットワークへの接続|非該当||
|>|管理コンソールへの接続|非該当|L3|
|>|個人に危害を加える可能性|非該当||
個人情報と管理コンソールへの接続でそれぞれL3となったため、許容される認証方式は多要素認証であり、リスクベース認証が強く推奨されます。
|140|120|120|120|c
|BGCOLOR(blue):COLOR(WHITE):CENTER:許容される認証方式|BGCOLOR(blue):COLOR(WHITE):CENTER:L1|BGCOLOR(blue):COLOR(WHITE):CENTER:L2|BGCOLOR(blue):COLOR(WHITE):CENTER:L3|
|単一要素認証|CENTER:許容|CENTER:条件付き許容*|BGCOLOR(BLACK):COLOR(WHITE):CENTER:使用不可|
|多要素認証|CENTER:許容|CENTER:推奨|CENTER:必須|
|リスクベース認証|CENTER:許容|CENTER:推奨|CENTER:強く推奨|
|RIGHT:100|270||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:リスクスコア|COLOR(WHITE):BGCOLOR(#44546A):CENTER:許容される認証方式|COLOR(WHITE):BGCOLOR(#44546A):CENTER:備考|h
|3点|多要素認証とパッシブ認証の併用（必須）|パッシブ認証との併用とすることが必須です。|
|2点|多要素認証|リスクの内容によっては、パッシブ認証との併用とすることが望まれます。|
|1点|多要素認証||
|0点|単一要素認証あるいは多要素認証|単一要素認証でパスワードを認証方式として選択する場合は、「4 パスワード認証に関する要求事項（推奨）」の要求事項のすべてを満たす必要があります。|
&br;

*Windows認証を利用する場合 [#v80551cc]
Windows の実装はNIST SP800-63-３よりも古いため、[[パスワード認証に関する要求事項（推奨）]] をそのまま適合させることができません。将来に向けての変更までの経過措置として、以下の設定を推奨します。
 

**背景と考え方 [#z59b266f]
-Active Directory の [複雑さの要件を満たす必要があるパスワード] ポリシー
本ポリシーにより、複雑さを求める設定をすることで、パスワードにIDを含ませることができなくなり、パスワードの安全性が高まります。~
一方で、パスワードの長さを8桁かつ複雑さを要求した場合は、全体の組み合わせ数が減り、推測しやすいパスワードを生み出す温床となります。~
定期変更による弊害を排除し、かつ、安全なパスワードを設定させるためには、複雑かつ長いパスワードの選択が必要です。~
多要素認証の導入した場合は、これらの複雑かつ長いパスワードは不要です。但し、多要素認証を導入した場合でも、Pass The Hass 攻撃の影響が考えられる場合は、Credential Guard による防御を検討して下さい。~


**Windows グループポリシーでの設定 [#v9a707d2]
Windows のグループポリシー [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウントポリシー]>[パスワードのポリシー]及び[アカウントロックアウトのポリシー] の設定を解説します。

***Windows Hello やハードウェアトークンなどの多要素認証を導入した場合の [パスワードポリシー] [#x6d14e8e]
--PIN を使用する場合、6桁以上とする
--PIN の定期変更、履歴、複雑性は求めない、但し、個人から推測可能な誕生日、電話番号等の使用は認めず、これらを規程化する
--アカウントロックアウトは3-5回に設定する。
--アカウントロックアウト期間は15分以上、もしくは管理者による解除とする。

***多要素認証を導入しない場合の [パスワードのポリシー] [#lba33e77]
-[パスワードの長さ] は14桁以上を推奨する
-[複雑さの要件を満たす必要があるパスワード] を有効にすることで SamAccountName、DisplayName を ID に含ませることができない事から、有効にする。複雑さの要件は、パスワードの変更時または作成時に強制的に適用される。
--ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
--長さは 6 文字以上で適用される。
--次の 4 つのカテゴリのうち 3 つから文字を使う。
---英大文字 (A から Z)
---英小文字 (a から z)
---10 進数の数字 (0 から 9)
---アルファベット以外の文字 (!、$、#、% など)
-定期的なセキュリティログ監査もしくはパスワードの漏洩・侵害検査の導入を前提に、[パスワードの有効期間]は[0日]（定期変更を求めない）、[パスワードの履歴を記録する]は[0回]（パスワードの履歴は求めない）とする
--ログ監査の対象Event ID~
セキュリティログ Event ID:4625（アカウントがログオンに失敗しました）、Event ID:4776（資格情報の確認）

***多要素を導入する場合の [アカウント ロックアウトのポリシー] [#z5d2aa43]
--[アカウントのロックアウトのしきい値] を[5回ログオンに失敗] とする
--[ロックアウト カウンターのリセット] を [15分後] とする
--[ロックアウト 期間] を [15分] とする