これまではパスワードの定期的な変更が推奨されていたが、2017年に米国国立標準技術研究所(nist)がガイドラインで「サービス提供側がパスワードの定期的な変更を求めるべきではない」という旨を示したそう。 ãªããå©ç¨ãããµã¼ãã¹ã«ãã£ã¦ã¯ããã¹ã¯ã¼ããå®æçã«å¤æ´ãããã¨ãæ±ãããããã¨ãããã¾ãããå®éã«ãã¹ã¯ã¼ããç ´ããã¢ã«ã¦ã³ããä¹ã£åããããããµã¼ãã¹å´ããæµåºããäºå®ããªããã°ããã¹ã¯ã¼ããå¤æ´ããå¿ è¦ã¯ããã¾ããããããå®æçãªå¤æ´ããããã¨ã§ããã¹ã¯ã¼ãã®ä½ãæ¹ããã¿ã¼ã³åãç°¡åãªãã®ã«ãªããã¨ãã使ãåããããããã«ãªããã¨ã®æ¹ãåé¡ã¨ãªãã¾ããå®æçã«å¤æ´ããããããæ©å¨ããµã¼ãã¹ã®éã§ä½¿ãåãã®ãªããåºæã®ãã¹ã¯ã¼ããè¨å®ãããã¨ãæ±ãããã¾ããCopyright © 2013 Ministry of Internal Affairs and Communications All Rights Reserved. ããã¾ã§ã¯ããã¹ã¯ã¼ãã®å®æçãªå¤æ´ãæ¨å¥¨ããã¦ãã¾ãããã2017å¹´ã«ãç±³å½å½ç«æ¨æºæè¡ç 究æï¼NISTï¼ããã¬ã¤ãã©ã¤ã³ã¨ãã¦ããµã¼ãã¹ãæä¾ããå´ããã¹ã¯ã¼ãã®å®æçãªå¤æ´ãè¦æ±ãã¹ãã§ã¯ãªãæ¨ã示ãããã¨ããã§ãï¼â»ï¼ï¼ãã¾ããæ¥æ¬ã«ããã¦ããå é£ãµã¤ãã¼ã»ãã¥ãªãã£ã»ã³ã¿ã¼ï¼NISCï¼ããããã¹ã¯ã¼ããå®æå¤æ´ããå¿ è¦ã¯ãªããæµåºæã«éããã«å¤æ´ããæ¨ã示ããã¦ãã¾ãï¼â»ï¼ï¼ã 同NISTガイドラインのAbstractには「連邦政府機関」向けと明記されている。 もちろん「パスワード定期変更不要論」はNISTガイドライン以前の、技術者の間での議論がベースになっているけれど、まずはNISTのガイドラインが米国連邦政府機関むけであることは明記すべきだろう。 National Institute of Standards and Technology (NIST)は、ハッキングからパスワードを守るために、2017年6月にパスワードの管理に関するセキュリティ要件ガイドライン、NIST Special Publication 800-63B[*2](以下、「NISTパスワードガイドライン」と記載)を発行しました。 米国立標準技術研究所(NIST)が、パスワードに関するガイドラインを改訂した。従来のガイドラインは、英数字と記号を組み合わせることや、パスワードを定期的に変更することを推奨しており、セキュリティ専門家からは批判が上がっていた。やっとのことで行われた改訂は、前向きに受け止められている。筆者は、この新しいガイドラインを読んで、ごく一般的な攻撃への備えが十分でないことに驚いた。簡単に言うと、このガイドラインでは、認証にパスワードだけを使っているユーザーたち、つまり現時点で大多数にあたるであろうアカウントが、これまでより脆弱になってしまう。このページに掲載されている記事・写真・図表などの無断転載を禁じます。著作権は日経BP社およびIDG、またはその情報提供者に帰属します。掲載している情報は、記事執筆時点のものです。Copyright © Nikkei Business Publications, Inc. and International Data Group, Inc. All rights reserved.このガイドラインでは、パスワードに焦点を当てているのは文書全体の一部分のみで、それ以外の大部分は、パスワード以外の認証手段(例えばトークン認証)を取り上げている。パスワードのみを使った認証は、レベルの低いアカウントに関してのみ認めている。一般論としては、パスワードのみの認証にするかどうかはリスクに基づいて決めることだが、現実には、パスワードのみに頼っているアカウントが大半だ。 All rights reserved.これは「私の父は消防士でした彼は一生懸命働きました」という意味の英文ですが、これをパスフレーズとするとき、スペースを入れられるようにした方が入力しやすくなります。このため、スペースをパスワードの1文字として使えるようにすべきと提唱されています。上記では、システム・サービスの運用管理者として、変更にどのように対応するかについて記載しましたが、同時に自社の従業員が電子認証の強度に応じて、負担が少なくシステム・サービスに認証できる環境を作ることも重要となります。はじめに、Authenticator (認証するもの・デバイス)について以下の通りまとめられています。それぞれのシステム・サービスは相対的に重要度が異なり、また本ガイドラインに対応した変更を導入する際の工数、またエンドユーザーへの影響度合いも異なるはずです。このため、全てのシステム・サービスを同時に変更することは事実上不可能ですし、リソースを考慮するとやるべきではありません。2017年6月に、米国政府機関であるアメリカ国立標準技術研究所(NIST)が「Electronic Authentication Guideline(電子的認証に関するガイドライン、以下『本ガイドライン』と略)」の最新版である「NIST SP 800-63-3」を発表しました。(例)my father was a firefighter he worked very hard (47文字)本ガイドラインで特徴的であることの一つとして、さきほどのAuthenticatorでいうところの「記憶シークレット」、つまりパスワードやPINに関して大きな変更がされていることです。以前のガイダンスからの変更点、ならび変更はされていないものの重要となる点について、まずはパスワード自体の設定からご説明させて頂きます。以下の通りです。不正アクセスを防ぐためには、AAL3のような強度の高い電子認証を適用するほうが望ましいです。しかし、強度の高い電子認証を適用することは、システム・サービスの利用者の利便性が著しく低下するため、全てにおいてAAL3を適用することは望ましくありません。システム・サービスを構築するために、都度、電子認証の強度について頭を悩ませるのではなく、どのような場面でも適用できる客観的な基準を設けることで、検討工数を削減できます。よって、どのように自社が管理するシステム・サービスに対して変更・修正を行っていくかの計画が重要となります。以下でご説明します。新しくアカウントを作成する際に、「母親の旧姓」「好きなフルーツ」「最初に飼ったペットの名前」など、本人しか分からない秘密の質問を設定したことがある方は多いかと思います。秘密の質問は普段は利用しませんが、パスワードを忘れてしまった場合に、秘密の質問に回答することでアクセスが許可されるという、ある意味保険的な用途で利用されていました。冒頭で解説した通り、本ガイドラインはNISTがアメリカ政府に対して「電子認証はこのようにすべき」と提唱しているドキュメントであり、日本政府ならび日本企業に何ら強制力があるものではありません。しかしながら、これまでの流れを見る限り、本ガイドラインが世界の電子認証におけるスタンダードになることは明確です。次に、パスフレーズ(認証用の文字列でパスワードより文字数が多く長いもの)に対応するための項目があることです。パスワードであれば、例えば「ZhY63#mX」(8文字)というような少ない文字数でしたが、これがパスフレーズになると単語ではなく、単語の組み合わせによるフレーズ・文章を使うため長文化します。長文化すると、セキュリティ上は強固になりますが、文字数が多すぎるため、無意味なフレーズをパスフレーズにすると記憶できなくなります。よって、ある程度意味のある文章をパスフレーズとすることが一般的です。 米国立標準技術研究所(nist)が、パスワードに関するガイドラインを改訂した。従来のガイドラインは、英数字と記号を組み合わせることや、パスワードを定期的に変更することを推奨しており、セキュリティ専門家からは批判が上がっていた。 nistのガイドラインでは、パスワードマネージャ、というキーワードは1カ所しか出てきていませんが、利用者に対しても、またオペレータに対しても、パスワードマネージャを利用する方向になると良いと … 多くの組織では、ADサーバーが認証によりアクセス範囲を制限します。ADサーバーはNISTが推奨するNISTセキュリティガイドラインの多くを満たしていないため、必要とされているドメインパスワードのポリシー設定ができません。(例:辞書単語をブラックリストに設定、パスワードの強さチェッカーを設定、二要素認証を実施)NISTが発表しているパスワードに関して実施すべきでないことと実施すべきことは次の通りです。ManageEngine ADSelfService Plusは、Windows Active Directory(AD)のアカウントロック解除やパスワードリセットの運用をユーザー自身で実行させる、セルフサービス化ソフトウェアです。なお、今回ご紹介したADSelfService Plusが気になった方は以下からチェック可能です。図 1.ADSelfService Plusのパスワードポリシー設定画面今回のブログではNISTが提唱するパスワードのガイドラインについて紹介しました。皆さまのセキュアな活動に繋がれば幸いです。何故ならば、パスワードの複雑さのルールを強制するとユーザーは容易に予測できるパスワード(例:password1! パスワードに関するガイドライン パスワードに関するガイドラインは、認証とライフサイクル管理に関する「SP800-63-B」の「5.1.1 Memorized Secrets」(記憶された秘密)に記載されています。「Memorized Secrets」(記憶された秘密)とされているのはパスワードだけでなく数字のみのPIN(Personal Identification Number)を含んでいるからです。
NISTは、アメリカ政府(商務省)傘下にある国営の研究所です。本ガイドラインは「現在の技術的動向を踏まえたうえで、アメリカ政府はこのような電子認証を取り入れるべき」というアメリカ政府向けの報告・提言という位置づけになります。この報告書を受けて、アメリカ政府はあらゆる電子認証に関するシステムを徐々に更新することで、不正アクセスや攻撃などの脅威から政府のデータを守ります。繰り返しになりますが、本ガイドラインは「アメリカの政府機関が、アメリカ政府各省庁・各機関に …