情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V2 認証検証の要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#m6185581]
認証とは、誰か (あるいは何か) を真正であるとして確立また...
ASVS が最初にリリースされたとき、ユーザ名 + パスワードは...
ASVS のすべての章の中で、認証とセッション管理の章が最も変...
*NIST 800-63 - 最新のエビデンスベースの認証標準 [#if494819]
NIST 800-63b は最新のエビデンスベースの標準であり、適用可...
NIST 800-63 の用語は、特にユーザ名 + パスワードの認証にし...
ASVS V2 認証、V3 セッション管理、および範囲は狭いですが、...
**適切な NIST AAL レベルの選択 [#w2ea2b14]
アプリケーションセキュリティ検証標準は ASVS レベル 1 を N...
*凡例 [#b8347fba]
特に、最新の認証がアプリケーションのロードマップ上にある...
|60||c
|CENTER:記号|CENTER:説明|h
||必須ではない|
|CENTER:o|推奨、但し必須ではない|
|CENTER:✓|必須|
&br;
*V2.1 パスワードセキュリティ要件 [#kc4b5778]
NIST 800-63 により「暗記された秘密」と呼ばれるパスワード...
アプリケーションはユーザに多要素認証への登録を強く推奨し...
資格情報プロバイダ (CSP) はユーザにフェデレーション ID (f...
&br;
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.1.1|ユーザが設定するパスワードは、最低12文字となってい...
|2.1.2|64文字以上のパスワードが使用できる。 (C6)|✓|✓|✓|52...
|2.1.3|パスワードにスペースを含めることができ、切り捨てが...
|2.1.4|パスワードにUnicode文字が使用できる。単一のUnicode...
|2.1.5|ユーザは自身のパスワードを変更できる。|✓|✓|✓|620|...
|2.1.6|パスワード変更機能には、ユーザの現在のパスワードと...
|2.1.7|アカウント登録、ログインおよびパスワード変更中に送...
|2.1.8|ユーザがより強力なパスワードを設定できるように、パ...
|2.1.9|使用可能な文字の種類を制限するパスワード規則がない...
|2.1.10|定期的なクレデンシャル変更またはパスワード履歴に...
|2.1.11|パスワード入力に対して、ペースト、ブラウザのパス...
|2.1.12|ユーザがマスクされたパスワード全体を一時的に表示...
&br;
*V2.2 一般的なオーセンティケータの要件 [#wcac988c]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.2.1|耐自動化コントロールが流出したクレデンシャルテスト...
|2.2.2|弱いオーセンティケータ (SMS や電子メールなど) の使...
|2.2.3|クレデンシャルのリセット、電子メールやアドレスの変...
|2.2.4|多要素認証、目的別暗号化デバイス (プッシュして認証...
|2.2.5|クレデンシャルプロバイダ (CSP) と認証を検証するア...
|2.2.6|OTPデバイス、暗号化オーセンティケータ、またはルッ...
|2.2.7|OTPトークンの入力や、FIDOハードウェアキーのボタン...
&br;
*オーセンティケータライフサイクルの要件 [#r55d9e17]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.3.1|システムが生成した初期パスワードまたはアクティベー...
|2.3.2|U2F や FIDO トークンなど、サブスクライバ(Subscribe...
|2.3.3|期限付きのオーセンティケータを更新するとき、十分な...
&br;
*V2.4 クレデンシャルの保管要件 [#n203dde7]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.4.1|パスワードがオフライン攻撃に強い形式で保存されてい...
|2.4.2|ソルトの長さが少なくとも32ビットであり、保存されて...
|2.4.3|PBKDF2が使用されている場合、反復回数は検証サーバの...
|2.4.4|bcryptが使用されている場合、ワークファクターは検証...
|2.4.5|秘密であり検証者のみが知っているソルト値を使用して...
&br;
*V2.5 クレデンシャルリカバリ要件 [#j80dfd65]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.5.1|システムによって生成された初期アクティベーションま...
|2.5.2|パスワードのヒントや知識ベースの認証(いわゆる「秘...
|2.5.3|パスワードクレデンシャルのリカバリによって現在のパ...
|2.5.4|共有アカウントまたはデフォルトアカウントが存在しな...
|2.5.5|認証要素が変更または置き換えられた場合、ユーザにこ...
|2.5.6|パスワードを忘れた場合や他のリカバリパスは、 TOTP...
|2.5.7|OTP または多要素認証要素が失われた場合、登録時と同...
&br;
*V2.6 ルックアップシークレット検証者(Verifier)の要件 [#y6...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.6.1|ルックアップシークレットは一度だけしか使用されない...
|2.6.2|ルックアップシークレットが十分なランダム性(112ビ...
|2.6.3|ルックアップシークレットは予測可能な値などのオフラ...
&br;
*V2.7 経路外 (Out of Band) 検証者(Verifier) の要件 [#re9b...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.7.1|SMS や PSTN などの平文経路外(NISTで制限されている...
|2.7.2|経路外検証者が10分後に、帯域外認証リクエスト、コー...
|2.7.3|経路外検証者の認証リクエストやコード、またはトーク...
|2.7.4|経路外オーセンティケータおよび検証者はセキュアで独...
|2.7.5|経路外検証者がハッシュ化されたバージョンのオーセン...
|2.7.6|初期オーセンティケーションコードは少なくとも20ビッ...
&br;
*V2.8 単一または多要素のワンタイム検証者の要件 [#n851083f]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.8.1|時間ベースの OTP は期限切れまでの有効期間が定義さ...
|2.8.2|送信された OTP を検証するために使用される対称鍵は...
|2.8.3|承認済みの暗号化アルゴリズムが生成、シード、検証に...
|2.8.4|時間ベースのOTPが有効期間内に1回しか使用できない。...
|2.8.5|時間ベースの多要素OTPトークンが有効期間中に再利用...
|2.8.6|盗難やその他の損失が発生した場合は、物理的な単一要...
|2.8.7|生体認証システムが、自分が持っているものと自分が知...
&br;
*V2.9 暗号化ソフトウェアおよびデバイス検証者の要件 [#e01c...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.9.1|検証に使用される暗号化キーは、TPM や HSM またはこ...
|2.9.2|チャレンジノンスは少なくとも64ビットの長さがあり、...
|2.9.3|承認された暗号化アルゴリズムが生成、シード、および...
&br;
*V2.10 サービス認証要件 [#hda60603]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.10.1|統合シークレットが、APIキーや共有特権アカウントな...
|2.10.2|パスワードが必要な場合は、クレデンシャルがデフォ...
|2.10.3|ローカルシステムアクセスを含むオフラインリカバリ...
|2.10.4|パスワード、データベースおよびサードパーティシス...
&br;
*追加の米国政府機関要件 [#j1491e4e]
米国政府機関には NIST 800-63 に関する必須要件があります。...
米国政府機関には NIST 800-63 全体をレビューし実装すること...
*用語集 [#q4578410]
|用語|意味|
|CSP|クレデンシャルサービスプロバイダ (Credential Service...
|オーセンティケータ(Authenticator)|パスワード、トークン、...
|検証者(Verifier)|「認証プロトコルを使用して1つまたは2つ...
|OTP|ワンタイムパスワード (One-time password)|
|SFA|単一要素オーセンティケータ (Single-factor authentica...
|MFA|多要素オーセンティケータ (Multi-factor authenticator...
*参考情報 [#w40b02e2]
詳細については、以下も参照してください。
-[NIST 800-63 - Digital Identity Guidelines]:https://nvl...
-[NIST 800-63 A - Enrollment and Identity Proofing]:http...
-[NIST 800-63 B - Authentication and Lifecycle Management...
-[NIST 800-63 C - Federation and Assertions]:https://nvl...
-[NIST 800-63 FAQ:https://pages.nist.gov/800-63-FAQ/
-[OWASP Testing Guide 4.0: Testing for Authentication]:h...
-[OWASP Cheat Sheet - Password storage]:https://cheatshe...
-[OWASP Cheat Sheet - Forgot password]:https://cheatshee...
-[OWASP Cheat Sheet - Choosing and using security questio...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#m6185581]
認証とは、誰か (あるいは何か) を真正であるとして確立また...
ASVS が最初にリリースされたとき、ユーザ名 + パスワードは...
ASVS のすべての章の中で、認証とセッション管理の章が最も変...
*NIST 800-63 - 最新のエビデンスベースの認証標準 [#if494819]
NIST 800-63b は最新のエビデンスベースの標準であり、適用可...
NIST 800-63 の用語は、特にユーザ名 + パスワードの認証にし...
ASVS V2 認証、V3 セッション管理、および範囲は狭いですが、...
**適切な NIST AAL レベルの選択 [#w2ea2b14]
アプリケーションセキュリティ検証標準は ASVS レベル 1 を N...
*凡例 [#b8347fba]
特に、最新の認証がアプリケーションのロードマップ上にある...
|60||c
|CENTER:記号|CENTER:説明|h
||必須ではない|
|CENTER:o|推奨、但し必須ではない|
|CENTER:✓|必須|
&br;
*V2.1 パスワードセキュリティ要件 [#kc4b5778]
NIST 800-63 により「暗記された秘密」と呼ばれるパスワード...
アプリケーションはユーザに多要素認証への登録を強く推奨し...
資格情報プロバイダ (CSP) はユーザにフェデレーション ID (f...
&br;
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.1.1|ユーザが設定するパスワードは、最低12文字となってい...
|2.1.2|64文字以上のパスワードが使用できる。 (C6)|✓|✓|✓|52...
|2.1.3|パスワードにスペースを含めることができ、切り捨てが...
|2.1.4|パスワードにUnicode文字が使用できる。単一のUnicode...
|2.1.5|ユーザは自身のパスワードを変更できる。|✓|✓|✓|620|...
|2.1.6|パスワード変更機能には、ユーザの現在のパスワードと...
|2.1.7|アカウント登録、ログインおよびパスワード変更中に送...
|2.1.8|ユーザがより強力なパスワードを設定できるように、パ...
|2.1.9|使用可能な文字の種類を制限するパスワード規則がない...
|2.1.10|定期的なクレデンシャル変更またはパスワード履歴に...
|2.1.11|パスワード入力に対して、ペースト、ブラウザのパス...
|2.1.12|ユーザがマスクされたパスワード全体を一時的に表示...
&br;
*V2.2 一般的なオーセンティケータの要件 [#wcac988c]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.2.1|耐自動化コントロールが流出したクレデンシャルテスト...
|2.2.2|弱いオーセンティケータ (SMS や電子メールなど) の使...
|2.2.3|クレデンシャルのリセット、電子メールやアドレスの変...
|2.2.4|多要素認証、目的別暗号化デバイス (プッシュして認証...
|2.2.5|クレデンシャルプロバイダ (CSP) と認証を検証するア...
|2.2.6|OTPデバイス、暗号化オーセンティケータ、またはルッ...
|2.2.7|OTPトークンの入力や、FIDOハードウェアキーのボタン...
&br;
*オーセンティケータライフサイクルの要件 [#r55d9e17]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.3.1|システムが生成した初期パスワードまたはアクティベー...
|2.3.2|U2F や FIDO トークンなど、サブスクライバ(Subscribe...
|2.3.3|期限付きのオーセンティケータを更新するとき、十分な...
&br;
*V2.4 クレデンシャルの保管要件 [#n203dde7]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.4.1|パスワードがオフライン攻撃に強い形式で保存されてい...
|2.4.2|ソルトの長さが少なくとも32ビットであり、保存されて...
|2.4.3|PBKDF2が使用されている場合、反復回数は検証サーバの...
|2.4.4|bcryptが使用されている場合、ワークファクターは検証...
|2.4.5|秘密であり検証者のみが知っているソルト値を使用して...
&br;
*V2.5 クレデンシャルリカバリ要件 [#j80dfd65]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.5.1|システムによって生成された初期アクティベーションま...
|2.5.2|パスワードのヒントや知識ベースの認証(いわゆる「秘...
|2.5.3|パスワードクレデンシャルのリカバリによって現在のパ...
|2.5.4|共有アカウントまたはデフォルトアカウントが存在しな...
|2.5.5|認証要素が変更または置き換えられた場合、ユーザにこ...
|2.5.6|パスワードを忘れた場合や他のリカバリパスは、 TOTP...
|2.5.7|OTP または多要素認証要素が失われた場合、登録時と同...
&br;
*V2.6 ルックアップシークレット検証者(Verifier)の要件 [#y6...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.6.1|ルックアップシークレットは一度だけしか使用されない...
|2.6.2|ルックアップシークレットが十分なランダム性(112ビ...
|2.6.3|ルックアップシークレットは予測可能な値などのオフラ...
&br;
*V2.7 経路外 (Out of Band) 検証者(Verifier) の要件 [#re9b...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.7.1|SMS や PSTN などの平文経路外(NISTで制限されている...
|2.7.2|経路外検証者が10分後に、帯域外認証リクエスト、コー...
|2.7.3|経路外検証者の認証リクエストやコード、またはトーク...
|2.7.4|経路外オーセンティケータおよび検証者はセキュアで独...
|2.7.5|経路外検証者がハッシュ化されたバージョンのオーセン...
|2.7.6|初期オーセンティケーションコードは少なくとも20ビッ...
&br;
*V2.8 単一または多要素のワンタイム検証者の要件 [#n851083f]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.8.1|時間ベースの OTP は期限切れまでの有効期間が定義さ...
|2.8.2|送信された OTP を検証するために使用される対称鍵は...
|2.8.3|承認済みの暗号化アルゴリズムが生成、シード、検証に...
|2.8.4|時間ベースのOTPが有効期間内に1回しか使用できない。...
|2.8.5|時間ベースの多要素OTPトークンが有効期間中に再利用...
|2.8.6|盗難やその他の損失が発生した場合は、物理的な単一要...
|2.8.7|生体認証システムが、自分が持っているものと自分が知...
&br;
*V2.9 暗号化ソフトウェアおよびデバイス検証者の要件 [#e01c...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.9.1|検証に使用される暗号化キーは、TPM や HSM またはこ...
|2.9.2|チャレンジノンスは少なくとも64ビットの長さがあり、...
|2.9.3|承認された暗号化アルゴリズムが生成、シード、および...
&br;
*V2.10 サービス認証要件 [#hda60603]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|2.10.1|統合シークレットが、APIキーや共有特権アカウントな...
|2.10.2|パスワードが必要な場合は、クレデンシャルがデフォ...
|2.10.3|ローカルシステムアクセスを含むオフラインリカバリ...
|2.10.4|パスワード、データベースおよびサードパーティシス...
&br;
*追加の米国政府機関要件 [#j1491e4e]
米国政府機関には NIST 800-63 に関する必須要件があります。...
米国政府機関には NIST 800-63 全体をレビューし実装すること...
*用語集 [#q4578410]
|用語|意味|
|CSP|クレデンシャルサービスプロバイダ (Credential Service...
|オーセンティケータ(Authenticator)|パスワード、トークン、...
|検証者(Verifier)|「認証プロトコルを使用して1つまたは2つ...
|OTP|ワンタイムパスワード (One-time password)|
|SFA|単一要素オーセンティケータ (Single-factor authentica...
|MFA|多要素オーセンティケータ (Multi-factor authenticator...
*参考情報 [#w40b02e2]
詳細については、以下も参照してください。
-[NIST 800-63 - Digital Identity Guidelines]:https://nvl...
-[NIST 800-63 A - Enrollment and Identity Proofing]:http...
-[NIST 800-63 B - Authentication and Lifecycle Management...
-[NIST 800-63 C - Federation and Assertions]:https://nvl...
-[NIST 800-63 FAQ:https://pages.nist.gov/800-63-FAQ/
-[OWASP Testing Guide 4.0: Testing for Authentication]:h...
-[OWASP Cheat Sheet - Password storage]:https://cheatshe...
-[OWASP Cheat Sheet - Forgot password]:https://cheatshee...
-[OWASP Cheat Sheet - Choosing and using security questio...
ページ名:
