Bizコンパス

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?
2019.04.22

今知っておきたいITセキュリティスキルワンランクアップ講座第10回

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?

著者 北河 拓士

 今年のはじめに国内大手のファイル転送サービスから約480万件ものメールアドレスやパスワードが流出し、しかも、そのパスワードが平文で保存されていたことが公表されたことから、ネット上では大きな話題となりました。

 本連載でも何度か紹介してきたNIST(米国国立標準技術研究所)の「電子認証に関するガイドライン」(SP800-63) では、昨年よく話題となった「パスワードの定期的な変更を要求すべきではない」以外にも、パスワードに関して様々な要件が書かれています。パスワードの保存方法についても「オフライン攻撃に強い形式で保存しなければならない」とパスワードの定期変更に関することよりも強い必須の要求事項として記載されています。

 今回は、NISTのガイドライン(SP800-63)にはパスワードに関してどのような要件が書かれているかについて見ていきたいと思います。

 

ガイドラインの位置づけ

 NIST(National Institute of Standards and Technology、米国国立標準技術研究所)は、米国商務省所管の研究機関で、「経済安全保障を高め、生活の質を向上させるような方法で計測科学、規格、産業技術を促進することにより、米国の技術革新や産業競争力を強化すること」を目的としています。

 NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」(SP800-63)は、電子的な認証システムを実装している米国政府機関への技術的な指針を提供するもので、2017年6月に最新版の第3版が公開されました。

「SP800-63」は、概要をまとめた「SP800-63-3」、登録と身元確認に関する「SP800-63-A」、認証とライフサイクル管理に関する「SP800-63-B」、フェデレーションとアサーションに関する「SP800-63-C」の4つの文書から構成されています。

 これらのガイドラインはあくまで米国政府機関向けの技術的な指針を提供するもので、米国外の政府機関や民間企業に対してはなんら強制力のあるものではありません。しかし、その内容は非常に評価が高く、世界中の政府機関や民間企業が参考にしており、電子認証に関する事実上の標準ガイドラインという位置づけになっています。

NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」

 

要求事項の表記法及び規則

 ガイドラインには要求事項の重み(優先度)が、「SHALL」「SHOULD」「MAY」「CAN」という大文字で表記され使い分けられていますので、この違いを意識して読む必要があります。

 ガイドラインの巻頭に記載されているそれぞれの定義は以下になります。

●「SHALL」(しなければならない)、「SHALL NOT」(してはならない)
・ガイドラインに準拠するために厳格に従うべき要件を示し、そこからの逸脱は許されない

● 「SHOULD」(すべきである)、「SHOULD NOT」(すべきでない)
・ いくつかの選択肢の中で特に適していると推奨されること
・特定の行動指針が好ましいが必須とまではしない
・(否定的な形で)特定の可能性や行動方針は推奨されないが禁止はしない

●「MAY」(してもよい)、「NEED NOT」(しなくてもよい)
・許容される行動方針を示す

● 「「CAN」(できる)、「CANNOT」(できない)
・可能性または能力を示す

 たとえば、「パスワードの定期的な変更の要求」は「SHOULD NOT」(すべきでない)で、推奨はされないが禁止はしないという位置づけですが、「漏えいの証拠がある場合」は「SHALL」(しなければならない)で、「変更を強制しなければならない」とより強い必須の要件となっています。

 

パスワードに関するガイドライン

 パスワードに関するガイドラインは、認証とライフサイクル管理に関する「SP800-63-B」の「5.1.1 Memorized Secrets」(記憶された秘密)に記載されています。「Memorized Secrets」(記憶された秘密)とされているのはパスワードだけでなく数字のみのPIN(Personal Identification Number)を含んでいるからです。

 これらのガイドラインはサービス提供者を対象としたもので、サービス利用者を対象にしたものではありません。しかし、サービス提供者のみならず、サービス利用者もガイドラインの内容を知っておくことは自分の利用しているサービスが標準的なガイドラインに準拠しているかを判断する上で有益となるでしょう。

 それでは、「SP800-63-B」にはパスワードに関してどのような要件が書かれているのかを見ていきましょう。

 

長さなどの要件

●利用者が設定する場合は、最低… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連キーワード

SHARE