NTTコミュニケーションズ

Bizコンパス

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?
2019.04.22

今知っておきたいITセキュリティスキルワンランクアップ講座第10回

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?

著者 北河 拓士

 今年のはじめに国内大手のファイル転送サービスから約480万件ものメールアドレスやパスワードが流出し、しかも、そのパスワードが平文で保存されていたことが公表されたことから、ネット上では大きな話題となりました。

 本連載でも何度か紹介してきたNIST(米国国立標準技術研究所)の「電子認証に関するガイドライン」(SP800-63) では、昨年よく話題となった「パスワードの定期的な変更を要求すべきではない」以外にも、パスワードに関して様々な要件が書かれています。パスワードの保存方法についても「オフライン攻撃に強い形式で保存しなければならない」とパスワードの定期変更に関することよりも強い必須の要求事項として記載されています。

 今回は、NISTのガイドライン(SP800-63)にはパスワードに関してどのような要件が書かれているかについて見ていきたいと思います。

 

ガイドラインの位置づけ

 NIST(National Institute of Standards and Technology、米国国立標準技術研究所)は、米国商務省所管の研究機関で、「経済安全保障を高め、生活の質を向上させるような方法で計測科学、規格、産業技術を促進することにより、米国の技術革新や産業競争力を強化すること」を目的としています。

 NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」(SP800-63)は、電子的な認証システムを実装している米国政府機関への技術的な指針を提供するもので、2017年6月に最新版の第3版が公開されました。

「SP800-63」は、概要をまとめた「SP800-63-3」、登録と身元確認に関する「SP800-63-A」、認証とライフサイクル管理に関する「SP800-63-B」、フェデレーションとアサーションに関する「SP800-63-C」の4つの文書から構成されています。

 これらのガイドラインはあくまで米国政府機関向けの技術的な指針を提供するもので、米国外の政府機関や民間企業に対してはなんら強制力のあるものではありません。しかし、その内容は非常に評価が高く、世界中の政府機関や民間企業が参考にしており、電子認証に関する事実上の標準ガイドラインという位置づけになっています。

NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」

 

要求事項の表記法及び規則

 ガイドラインには要求事項の重み(優先度)が、「SHALL」「SHOULD」「MAY」「CAN」という大文字で表記され使い分けられていますので、この違いを意識して読む必要があります。

 ガイドラインの巻頭に記載されているそれぞれの定義は以下になります。

●「SHALL」(しなければならない)、「SHALL NOT」(してはならない)
・ガイドラインに準拠するために厳格に従うべき要件を示し、そこからの逸脱は許されない

● 「SHOULD」(すべきである)、「SHOULD NOT」(すべきでない)
・ いくつかの選択肢の中で特に適していると推奨されること
・特定の行動指針が好ましいが必須とまではしない
・(否定的な形で)特定の可能性や行動方針は推奨されないが禁止はしない

●「MAY」(してもよい)、「NEED NOT」(しなくてもよい)
・許容される行動方針を示す

● 「「CAN」(できる)、「CANNOT」(できない)
・可能性または能力を示す

 たとえば、「パスワードの定期的な変更の要求」は「SHOULD NOT」(すべきでない)で、推奨はされないが禁止はしないという位置づけですが、「漏えいの証拠がある場合」は「SHALL」(しなければならない)で、「変更を強制しなければならない」とより強い必須の要件となっています。

 

パスワードに関するガイドライン

 パスワードに関するガイドラインは、認証とライフサイクル管理に関する「SP800-63-B」の「5.1.1 Memorized Secrets」(記憶された秘密)に記載されています。「Memorized Secrets」(記憶された秘密)とされているのはパスワードだけでなく数字のみのPIN(Personal Identification Number)を含んでいるからです。

 これらのガイドラインはサービス提供者を対象としたもので、サービス利用者を対象にしたものではありません。しかし、サービス提供者のみならず、サービス利用者もガイドラインの内容を知っておくことは自分の利用しているサービスが標準的なガイドラインに準拠しているかを判断する上で有益となるでしょう。

 それでは、「SP800-63-B」にはパスワードに関してどのような要件が書かれているのかを見ていきましょう。

 

長さなどの要件

●利用者が設定する場合は、最低… 続きを読む

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事が気に入ったらクリック!

お気に入り登録

この記事で紹介しているサービスについて

SHARE

関連記事

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

暗号化ZIPをメールで添付する方式の何が問題か?

2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」