Bizコンパス

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?
2019.04.22

今知っておきたいITセキュリティスキルワンランクアップ講座第10回

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?

著者 北河 拓士

 今年のはじめに国内大手のファイル転送サービスから約480万件ものメールアドレスやパスワードが流出し、しかも、そのパスワードが平文で保存されていたことが公表されたことから、ネット上では大きな話題となりました。

 本連載でも何度か紹介してきたNIST(米国国立標準技術研究所)の「電子認証に関するガイドライン」(SP800-63) では、昨年よく話題となった「パスワードの定期的な変更を要求すべきではない」以外にも、パスワードに関して様々な要件が書かれています。パスワードの保存方法についても「オフライン攻撃に強い形式で保存しなければならない」とパスワードの定期変更に関することよりも強い必須の要求事項として記載されています。

 今回は、NISTのガイドライン(SP800-63)にはパスワードに関してどのような要件が書かれているかについて見ていきたいと思います。

 

ガイドラインの位置づけ

 NIST(National Institute of Standards and Technology、米国国立標準技術研究所)は、米国商務省所管の研究機関で、「経済安全保障を高め、生活の質を向上させるような方法で計測科学、規格、産業技術を促進することにより、米国の技術革新や産業競争力を強化すること」を目的としています。

 NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」(SP800-63)は、電子的な認証システムを実装している米国政府機関への技術的な指針を提供するもので、2017年6月に最新版の第3版が公開されました。

「SP800-63」は、概要をまとめた「SP800-63-3」、登録と身元確認に関する「SP800-63-A」、認証とライフサイクル管理に関する「SP800-63-B」、フェデレーションとアサーションに関する「SP800-63-C」の4つの文書から構成されています。

 これらのガイドラインはあくまで米国政府機関向けの技術的な指針を提供するもので、米国外の政府機関や民間企業に対してはなんら強制力のあるものではありません。しかし、その内容は非常に評価が高く、世界中の政府機関や民間企業が参考にしており、電子認証に関する事実上の標準ガイドラインという位置づけになっています。

NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」

 

要求事項の表記法及び規則

 ガイドラインには要求事項の重み(優先度)が、「SHALL」「SHOULD」「MAY」「CAN」という大文字で表記され使い分けられていますので、この違いを意識して読む必要があります。

 ガイドラインの巻頭に記載されているそれぞれの定義は以下になります。

●「SHALL」(しなければならない)、「SHALL NOT」(してはならない)
・ガイドラインに準拠するために厳格に従うべき要件を示し、そこからの逸脱は許されない

● 「SHOULD」(すべきである)、「SHOULD NOT」(すべきでない)
・ いくつかの選択肢の中で特に適していると推奨されること
・特定の行動指針が好ましいが必須とまではしない
・(否定的な形で)特定の可能性や行動方針は推奨されないが禁止はしない

●「MAY」(してもよい)、「NEED NOT」(しなくてもよい)
・許容される行動方針を示す

● 「「CAN」(できる)、「CANNOT」(できない)
・可能性または能力を示す

 たとえば、「パスワードの定期的な変更の要求」は「SHOULD NOT」(すべきでない)で、推奨はされないが禁止はしないという位置づけですが、「漏えいの証拠がある場合」は「SHALL」(しなければならない)で、「変更を強制しなければならない」とより強い必須の要件となっています。

 

パスワードに関するガイドライン

 パスワードに関するガイドラインは、認証とライフサイクル管理に関する「SP800-63-B」の「5.1.1 Memorized Secrets」(記憶された秘密)に記載されています。「Memorized Secrets」(記憶された秘密)とされているのはパスワードだけでなく数字のみのPIN(Personal Identification Number)を含んでいるからです。

 これらのガイドラインはサービス提供者を対象としたもので、サービス利用者を対象にしたものではありません。しかし、サービス提供者のみならず、サービス利用者もガイドラインの内容を知っておくことは自分の利用しているサービスが標準的なガイドラインに準拠しているかを判断する上で有益となるでしょう。

 それでは、「SP800-63-B」にはパスワードに関してどのような要件が書かれているのかを見ていきましょう。

 

長さなどの要件

●利用者が設定する場合は、最低… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

2020.05.15

テレワーク導入の“壁”を解決第5回

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

中部電力とNTT Comはどうやって点検データを「見える化」したのか

2020.04.10

デジタルトランスフォーメーションの実現へ向けて第38回

中部電力とNTT Comはどうやって点検データを「見える化」したのか

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第20回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」