・電子認証について のバックアップの現在との差分(No.3)

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• ・電子認証について へ行く。
  • 1 (2020-01-22 (水) 17:43:14)
  • 2 (2020-01-23 (木) 14:22:12)
  • 3 (2020-02-16 (日) 12:51:50)
  • 4 (2020-03-08 (日) 15:42:47)
  • 5 (2020-03-19 (木) 14:38:00)
  • 6 (2020-07-16 (木) 10:54:18)
  • 7 (2020-07-23 (木) 12:51:00)
  • 8 (2020-07-24 (金) 16:01:20)
  • 9 (2020-07-25 (土) 14:17:14)
  • 10 (2020-07-29 (水) 11:25:05)
  • 11 (2020-07-30 (木) 11:11:20)
  • 12 (2020-07-30 (木) 13:18:09)
  • 13 (2020-08-10 (月) 16:04:05)
  • 14 (2020-08-11 (火) 11:27:24)
  • 15 (2020-08-11 (火) 14:36:02)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-02-16T12:51:50+09:00","","")
[[IPAセキュリティPT評価版]]
#freeze
#author("2020-11-08T11:15:11+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[詳細設定対策に必要な措置]]

*目的 [#n21da594]
情報システムの認証方式設計は非常に重要です。一方で、近年、認証方式各々での課題や脆弱性に関する研究が進み、従来より安全とされていた運用において、脆弱性が存在する可能性があることが分かってきました。例えば、2017年に改訂された米国国立標準技術研究所（NIST）の電子認証ガイドライン (SP800-63B) では、従来、必要とされてきたパスワードの複雑性や定期変更に関しては非推奨（SHOULD NOT）とし、パスワードには、辞書に含まれるワードや繰り返しまたは連続した文字を含ませないことを厳格に要求（SHALL）しています。
本項では、こうした技術動向を踏まえ、システム特性に応じた認証方式を実装するため、認証方式ごとの技術的な課題や研究成果を整理し解説します。

*パスワードに関する技術的な動向 [#k014502e]
認証に関するガイドラインは米国国立標準技術研究所（NIST)の電子認証ガイドライン(SP800-63-3)がよく知られています。NISTは、連邦政府システムの最小要件を含む情報セキュリティの標準とガイドラインを作成する責任がありますが、強制力や義務ではないとされており、連邦政府機関に技術的要件を提供するものと明確に記述されています。~
一方で、クレジットカード業界のセキュリティ規格であるPCIDSSはNISTの見解を反映させた新しいバージョンを2020年後半にリリースするとしており、SP800-63-3はデジタル認証の標準ととらえることができます。~
SP800-63-3では、以下の特徴的な改訂を行っています。
-システムがランダムにパスワードを決定する場合最低6文字(SHALL)
-ユーザがパスワード決定する場合は8文字以上(SHALL)
-以下の要件に該当するか比較し(SHALL）、その場合は、理由を説明し(SHALL）、他のパスワードへの変更を求める(SHALL）
--過去に漏洩した語彙集から得られるパスワード
--辞書に含まれる言葉
--繰り返しまたはシーケンシャルな文字（例： 'aaaaaa'、 '1234abcd'）
--サービス名や、ユーザ名、そこから派生するようなものなど、文脈で特定可能な単語
--他の構成ルール（異なる文字種の組み合わせ等）を課すべきではない（SHOULD NOT）
-定期的変更は求めない(SHALL）
-危殆化した証拠がある場合は、変更を強制する(SHALL）
-パスワード強度メーターの推奨（SHOULD）
[[電子認証（本人認証）の方式検討]]~
[[パスワードの要件と課題]]~
[[パスワード認証に関する要求事項（推奨）]]~
[[リスクの影響度に応じた認証方式の選択]]~
[[認証に関する用語解説・資料]]~
[[漏洩パスワード TOP200 の特徴]]~

**ランダム６文字、ユーザー決定８文字 [#pc1c0aeb]
NIST SP800-63 （2006/4版、邦訳：https://www.ipa.go.jp/files/000025342.pdf）では、ランダムな94文字種から作成した6桁のパスワードのエントロピー（ばらつき強度）を39.5bitと推定しています。また、ユーザーが選択した場合は、94文字種で、辞書規則（5万語の辞書に掲載されていない）と組み合わせ規則（繰り返しやqwerなどの連続性の排除）を適用した場合のエントロピーを30bitと推測しています。~
一方で、ユーザーが規則の適用なしに自由に選んだ8文字のパスワードの場合、エントロピーは18bitと推測しています。このため、辞書やサービス名の使用を禁止したものと考えられます。

**定期的変更は求めない [#md789f0c]
2016年のノースカロライナ大学の研究で、10,000を超えるアカウントのパスワードの分析から、調査したアカウントの17％について、ユーザーの以前のパスワードを知っていれば、5回以下で現在のパスワードを推測できることが報告されています。これは、定期変更が求められた際に、文字を数字や記号に換えたり、記号を追加したり削除し、似通ったものを新しいパスワードとして登録する人が多いことを示しています。~
その結果、攻撃者にとって定期変更は障壁ではなく、かえって安全性を損ねるものという判断がなされました。~
***Microsoft Security Baselines Blogの見解 [#qbe5b57d]
Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903 で定期変更を推奨しない理由を以下のようにあげています。
-パスワードが盗まれない場合は、パスワードを期限切れにする必要はない。
-パスワードが盗まれた証拠がある場合は、有効期限が切れるのを待って問題を解決するのではなく、すぐに対処することになる。
-パスワードが盗まれる可能性があることがわかっている場合、盗まれたパスワードの使用を許可する期間として許容できる日数はどれくらいだろうか。
-我々のベースラインは、適切に管理された、セキュリティ意識の高いほとんどの企業が、修正を加えても最小限で使用できるように設計されており、また、監査人の指針となることを目的としている。
-組織が禁止するパスワードリスト、多要素認証、パスワード推測攻撃の検出、および異常なログオン試行の検出を正常に実装した場合、定期的なパスワード有効期限は必要だろうか。
-最新の緩和策を導入していない場合、パスワードの有効期限が切れることによって、どの程度の保護が得られるのだろうか。
https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-final-for-windows-10-v1903-and-windows-server/ba-p/701084

*本ガイドラインの取り扱い [#t7746579]
本ガイドラインでは、SP800-63-3 や Security baseline (FINAL)  v1903 の見解をすべて反映させていません。
**定期変更 [#vc5aca9f]
定期変更の弊害は理解できるものの、パスワード侵害に対する検出を低コストでできる実装がないためです。一方で、多要素認証を採用した場合は、定期変更の理由がないため、除外するように記述しています。