Reading Time: 1 minutes
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員のカード情報や取引情報を安全に守るために策定された、クレジットカード事業者およびその加盟店向けの国際セキュリティ基準です。
PCI DSSは、2011年以降、日本国内でも準拠が本格化しています。これに加え、2020年の東京オリンピックを控えた現在では、セキュリティ強化を促進する目的で経済産業省から以下の実行計画が公開され、PCI DSS準拠に向けた動きが更に活発化しています。
・クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(2016年版の改定)
PCI DSSの要件8.3では、外部ネットワークからリモートアクセスする際の「二要素認証」が要求されていますが、2016年4月28日に発表されたバージョン3.2ではこれが「多要素認証」と再定義されました。
当記事では、「多要素認証」の説明に加え、準拠者が勘違いし易いと言われている「多段階認証」との違いを解説します。
【”多要素”認証とは?】
重要システムへログインする際、本人であるかどうかを認証するための仕組みとして、「ID」と「パスワード」の組み合わせが良く使われます。このパスワードを突破するために、サイバー攻撃者側では「ブルートフォースアタック」や「辞書攻撃」といった手法が開発されてきました。
しかし実際にはパスワード以外にも認証を行う方式(要素)は多数存在します。PCI DSSは、多要素認証の方式として、以下の3要素を定義しています。
(1) 記憶情報(SYK:Something You know)
「パスワード」はこの「記憶情報」として分類されます。この他にも暗証番号など、ユーザーが頭で記憶している情報を指します。記憶を忘れる可能性がある他、他人に知られると悪用されるリスクがあります。
(2) 所持情報(SYH:Something You Have)
ICカードやトークンデバイスなど、ユーザーが所持しているものを指します。紛失・盗難等のリスクがあります。
(3) 生体情報(SYA:Something You Are)
指紋、声紋、虹彩など、バイオメトリクスを指します。記憶として忘れたり所持物として紛失したりするリスクはありません。
PCI DSSの「多要素認証」要件を満たすには、上記3種類のうち2つ以上を使用することが必要です。この時、例えば「パスワード(記憶情報)」と「暗証番号(記憶情報)」を使用するなど、を同じ種類のものを2回使っても不適合となります。
「パスワード(記憶情報)」と「指紋(生体情報)」の組み合わせのように、異なる種類の情報を2つ以上採用しなければ、多要素認証とは認められません。
【多要素認証と多段階認証の違い】
多要素認証については、2017年2月に、以下の文書でより詳細な解釈が示されました。
・Information Supplement ”Multi-factor Authentication” (PCI Security Standards Council)(多要素認証に関する参考文献)
この中で、多要素認証を満たすための要件として「すべての認証要素を同時に検証した上で認証を通す必要性」が示されています。
Multi-step vs. Multi-Factor
PCI DSS requires that all factors in multi-factor authentication be verified prior to the authentication mechanism granting the requested access. Moreover, no prior knowledge of the success or failure of any factor should be provided to the individual until all factors have been presented. (5頁)
この場合、例えば「パスワード」と「指紋」を使って多要素認証の要件を満たす場合であれば
・パスワードの入力
・指紋の提示
という両方の要素が同時に入力されなければ、ログイン「成功/失敗」の判定を教えてもらえない仕組みにする必要が出てきます。
注意すべきなのは、多要素認証の要件として、「2つ以上の要素を利用して認証を通す仕組みさえ採用すれば良い」という認識を持ってしまった場合です。
例えば、「パスワードを入力し、OKだった時に初めて指紋を提示する」という仕様の認証システムを構築したとします。この場合、ひとつひとつの認証をクリアする過程で個々の要素が「正しいのか/間違っているのか」が明確となってしまいます。
このように、「パスワード」がOKなら「指紋」へ…と段階的に攻略していける方式は「多段階認証」と判定され、解釈上は「多要素認証」の要件を満たしていることにならないようです。
上記内容は、PCI DSS要件8.3へ準拠するための落とし穴となりかねませんので、ご留意されると良いかもしれません。
【多要素認証への対応機器】
最後に、上記の要件を満たす製品情報をご紹介します。
DDS社が提供する、統合認証システムEVE MAおよびEVE FAを利用することで、指紋認証やICカードなどを用いたバイオメトリクス認証を含む、多要素認証を実現できます。
当EVEシリーズはManageEngineが提供する特権ID管理ソフト「Password Manager Pro」との連携検証が完了しております。
詳細は、下記のページをご覧ください。
・「Password Manager Pro」多要素認証システムとの連携
なお、ManageEngineでは、Password Manager Proの他にも、PCI DSSの要件準拠に活用できる製品を7種類展開しております。
以下のページでは、PCI DSSの全要件と、それらに対応する製品機能をまとめた対応表も公開中ですので、ぜひご参照ください。
・ManageEngineのPCI DSS対応ソリューション
<関連情報>
・Password Manager Proサイト
<特権ID管理の無料セミナー>
・特権ID管理セミナー:ツール導入に必要な「作業項目」「工数」「費用感」を徹底解説!
<その他セキュリティソリューション>
・Active Directoryのセキュリティ対策ソリューション
・SIEM”以外”の選択肢!ログの「長期保管」と「可視化」をリーズナブルに
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。