Bizコンパス

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?
2019.04.22

今知っておきたいITセキュリティスキルワンランクアップ講座第10回

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?

著者 北河 拓士

 今年のはじめに国内大手のファイル転送サービスから約480万件ものメールアドレスやパスワードが流出し、しかも、そのパスワードが平文で保存されていたことが公表されたことから、ネット上では大きな話題となりました。

 本連載でも何度か紹介してきたNIST(米国国立標準技術研究所)の「電子認証に関するガイドライン」(SP800-63) では、昨年よく話題となった「パスワードの定期的な変更を要求すべきではない」以外にも、パスワードに関して様々な要件が書かれています。パスワードの保存方法についても「オフライン攻撃に強い形式で保存しなければならない」とパスワードの定期変更に関することよりも強い必須の要求事項として記載されています。

 今回は、NISTのガイドライン(SP800-63)にはパスワードに関してどのような要件が書かれているかについて見ていきたいと思います。

 

ガイドラインの位置づけ

 NIST(National Institute of Standards and Technology、米国国立標準技術研究所)は、米国商務省所管の研究機関で、「経済安全保障を高め、生活の質を向上させるような方法で計測科学、規格、産業技術を促進することにより、米国の技術革新や産業競争力を強化すること」を目的としています。

 NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」(SP800-63)は、電子的な認証システムを実装している米国政府機関への技術的な指針を提供するもので、2017年6月に最新版の第3版が公開されました。

「SP800-63」は、概要をまとめた「SP800-63-3」、登録と身元確認に関する「SP800-63-A」、認証とライフサイクル管理に関する「SP800-63-B」、フェデレーションとアサーションに関する「SP800-63-C」の4つの文書から構成されています。

 これらのガイドラインはあくまで米国政府機関向けの技術的な指針を提供するもので、米国外の政府機関や民間企業に対してはなんら強制力のあるものではありません。しかし、その内容は非常に評価が高く、世界中の政府機関や民間企業が参考にしており、電子認証に関する事実上の標準ガイドラインという位置づけになっています。

NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」

 

要求事項の表記法及び規則

 ガイドラインには要求事項の重み(優先度)が、「SHALL」「SHOULD」「MAY」「CAN」という大文字で表記され使い分けられていますので、この違いを意識して読む必要があります。

 ガイドラインの巻頭に記載されているそれぞれの定義は以下になります。

●「SHALL」(しなければならない)、「SHALL NOT」(してはならない)
・ガイドラインに準拠するために厳格に従うべき要件を示し、そこからの逸脱は許されない

● 「SHOULD」(すべきである)、「SHOULD NOT」(すべきでない)
・ いくつかの選択肢の中で特に適していると推奨されること
・特定の行動指針が好ましいが必須とまではしない
・(否定的な形で)特定の可能性や行動方針は推奨されないが禁止はしない

●「MAY」(してもよい)、「NEED NOT」(しなくてもよい)
・許容される行動方針を示す

● 「「CAN」(できる)、「CANNOT」(できない)
・可能性または能力を示す

 たとえば、「パスワードの定期的な変更の要求」は「SHOULD NOT」(すべきでない)で、推奨はされないが禁止はしないという位置づけですが、「漏えいの証拠がある場合」は「SHALL」(しなければならない)で、「変更を強制しなければならない」とより強い必須の要件となっています。

 

パスワードに関するガイドライン

 パスワードに関するガイドラインは、認証とライフサイクル管理に関する「SP800-63-B」の「5.1.1 Memorized Secrets」(記憶された秘密)に記載されています。「Memorized Secrets」(記憶された秘密)とされているのはパスワードだけでなく数字のみのPIN(Personal Identification Number)を含んでいるからです。

 これらのガイドラインはサービス提供者を対象としたもので、サービス利用者を対象にしたものではありません。しかし、サービス提供者のみならず、サービス利用者もガイドラインの内容を知っておくことは自分の利用しているサービスが標準的なガイドラインに準拠しているかを判断する上で有益となるでしょう。

 それでは、「SP800-63-B」にはパスワードに関してどのような要件が書かれているのかを見ていきましょう。

 

長さなどの要件

●利用者が設定する場合は、最低… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連する事例記事はこちらからご覧になれます

IT事例ライブラリー

SHARE

あなたへのおすすめ

VPNとは何か?その用途や問題点は?

2019.09.11

今知っておきたいITセキュリティスキルワンランクアップ講座第15回

VPNとは何か?その用途や問題点は?

“お堅い会社”が「Box」を公式ツールに採用。何がどう変わった?

2019.09.11

働き方改革&生産性向上のカギはどこにある?第13回

“お堅い会社”が「Box」を公式ツールに採用。何がどう変わった?

社員同士の学びを推進する、スマホを使ったKUMON独自の「働き方改革」

2019.09.04

働き方改革&生産性向上のカギはどこにある?第12回

社員同士の学びを推進する、スマホを使ったKUMON独自の「働き方改革」

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

企業のセキュリティ対策は“アウトソース”がカギ

2019.08.02

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

ブラウザのみで安全にファイルを共有できる「Firefox Send」

2019.07.01

今知っておきたいITセキュリティスキルワンランクアップ講座第13回

ブラウザのみで安全にファイルを共有できる「Firefox Send」

SkyKick社が語る「Office 365にバックアップが必要」なワケ

2019.06.14

ビジネススピードを加速するIT基盤第21回

SkyKick社が語る「Office 365にバックアップが必要」なワケ

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

3種類のサーバー証明書「DV」「OV」「EV」の違いは?

2019.06.04

今知っておきたいITセキュリティスキルワンランクアップ講座第12回

3種類のサーバー証明書「DV」「OV」「EV」の違いは?