Bizコンパス

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?
2019.04.22

今知っておきたいITセキュリティスキルワンランクアップ講座第10回

NISTのガイドラインでは、パスワードにどのような要件を求めているのか?

著者 北河 拓士

 今年のはじめに国内大手のファイル転送サービスから約480万件ものメールアドレスやパスワードが流出し、しかも、そのパスワードが平文で保存されていたことが公表されたことから、ネット上では大きな話題となりました。

 本連載でも何度か紹介してきたNIST(米国国立標準技術研究所)の「電子認証に関するガイドライン」(SP800-63) では、昨年よく話題となった「パスワードの定期的な変更を要求すべきではない」以外にも、パスワードに関して様々な要件が書かれています。パスワードの保存方法についても「オフライン攻撃に強い形式で保存しなければならない」とパスワードの定期変更に関することよりも強い必須の要求事項として記載されています。

 今回は、NISTのガイドライン(SP800-63)にはパスワードに関してどのような要件が書かれているかについて見ていきたいと思います。

 

ガイドラインの位置づけ

 NIST(National Institute of Standards and Technology、米国国立標準技術研究所)は、米国商務省所管の研究機関で、「経済安全保障を高め、生活の質を向上させるような方法で計測科学、規格、産業技術を促進することにより、米国の技術革新や産業競争力を強化すること」を目的としています。

 NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」(SP800-63)は、電子的な認証システムを実装している米国政府機関への技術的な指針を提供するもので、2017年6月に最新版の第3版が公開されました。

「SP800-63」は、概要をまとめた「SP800-63-3」、登録と身元確認に関する「SP800-63-A」、認証とライフサイクル管理に関する「SP800-63-B」、フェデレーションとアサーションに関する「SP800-63-C」の4つの文書から構成されています。

 これらのガイドラインはあくまで米国政府機関向けの技術的な指針を提供するもので、米国外の政府機関や民間企業に対してはなんら強制力のあるものではありません。しかし、その内容は非常に評価が高く、世界中の政府機関や民間企業が参考にしており、電子認証に関する事実上の標準ガイドラインという位置づけになっています。

NISTによる「Digital Identity Guidelines(電子認証に関するガイドライン)」

 

要求事項の表記法及び規則

 ガイドラインには要求事項の重み(優先度)が、「SHALL」「SHOULD」「MAY」「CAN」という大文字で表記され使い分けられていますので、この違いを意識して読む必要があります。

 ガイドラインの巻頭に記載されているそれぞれの定義は以下になります。

●「SHALL」(しなければならない)、「SHALL NOT」(してはならない)
・ガイドラインに準拠するために厳格に従うべき要件を示し、そこからの逸脱は許されない

● 「SHOULD」(すべきである)、「SHOULD NOT」(すべきでない)
・ いくつかの選択肢の中で特に適していると推奨されること
・特定の行動指針が好ましいが必須とまではしない
・(否定的な形で)特定の可能性や行動方針は推奨されないが禁止はしない

●「MAY」(してもよい)、「NEED NOT」(しなくてもよい)
・許容される行動方針を示す

● 「「CAN」(できる)、「CANNOT」(できない)
・可能性または能力を示す

 たとえば、「パスワードの定期的な変更の要求」は「SHOULD NOT」(すべきでない)で、推奨はされないが禁止はしないという位置づけですが、「漏えいの証拠がある場合」は「SHALL」(しなければならない)で、「変更を強制しなければならない」とより強い必須の要件となっています。

 

パスワードに関するガイドライン

 パスワードに関するガイドラインは、認証とライフサイクル管理に関する「SP800-63-B」の「5.1.1 Memorized Secrets」(記憶された秘密)に記載されています。「Memorized Secrets」(記憶された秘密)とされているのはパスワードだけでなく数字のみのPIN(Personal Identification Number)を含んでいるからです。

 これらのガイドラインはサービス提供者を対象としたもので、サービス利用者を対象にしたものではありません。しかし、サービス提供者のみならず、サービス利用者もガイドラインの内容を知っておくことは自分の利用しているサービスが標準的なガイドラインに準拠しているかを判断する上で有益となるでしょう。

 それでは、「SP800-63-B」にはパスワードに関してどのような要件が書かれているのかを見ていきましょう。

 

長さなどの要件

●利用者が設定する場合は、最低… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

DNS通信を暗号化する「DNS over HTTPS」とその課題

2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

キャタラーはどのようにしてマルチクラウドの課題を解決したのか

2019.10.25

ビジネススピードを加速するIT基盤第22回

キャタラーはどのようにしてマルチクラウドの課題を解決したのか

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

巧妙化する最近のフィッシングの傾向と効果的な対策

2019.10.09

今知っておきたいITセキュリティスキルワンランクアップ講座第16回

巧妙化する最近のフィッシングの傾向と効果的な対策

「テレワークで働き方改革」が、情報流出リスクをより高めるワケ

2019.09.29

失敗する働き方改革、成功する働き方改革第4回

「テレワークで働き方改革」が、情報流出リスクをより高めるワケ

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現

2019.09.27

DXを加速させるITシステムの運用改革第11回

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ