パスワード有効期限はもう古い! NIST準拠のパスワード管理ですべきでないこと4つと対応方法

ADSelfService Plus | July 25, 2019 | 1 min read

Reading Time: 1 minutes

パスワードは世界中で最も使用されている認証方法ですが、過去10年において、ITセキュリティの専門家は、ハッキングを防止するためのパスワードの管理の非効率さに悩まされているのが現状です。
今回は近年発表されたNIST提唱の新しいパスワードガイドラインをご紹介します。

新しいパスワードポリシーのガイドライン

2018 Credential Spill Report[*1]によると、2017年には23億個もの認証アカウントが盗まれたと報告されています。National Institute of Standards and Technology (NIST)は、ハッキングからパスワードを守るために、2017年6月にパスワードの管理に関するセキュリティ要件ガイドライン、NIST Special Publication 800-63B[*2](以下、「NISTパスワードガイドライン」と記載)を発行しました。
NISTパスワードガイドラインはアメリカ合衆国連邦政府のためのセキュリティガイドラインですが、日本を含めた多くの国でパスワードの基準として認識されています。

NISTパスワードガイドラインでは、認証の基準やパスワードのライフサイクルの管理を定義しています。特に注目すべきは5.1.1セクションの、パスワードの安全性に関するガイドラインや最適化されたセキュリティの確保のために実施すべき事項です。

なお、NISTパスワードガイドラインを和訳したものはJIPDECが発行しているレポート、NIST SP 800-63-3の概要と今回の改訂がもたらす影響[*3]よりご覧いただけます。

日本の場合、総務省が発行している「国民のための情報セキュリティサイト」に最新のパスワードポリシーが掲載されています。

  • [*1 ] 2018 Credential Spill Report
    https://info.shapesecurity.com/2018-Credential-Spill-Report-by-Shape-Security
  • [*2] NIST Special Publication 800-63B
    https://pages.nist.gov/800-63-3/sp800-63b.html
  • [*3] NIST SP 800-63-3の概要と今回の改訂がもたらす影響
    https://www.jipdec.or.jp/sp/library/report/20171127.html

 

NISTによるパスワードガイドライン

NISTが発表しているパスワードに関して実施すべきでないことと実施すべきことは次の通りです。

実施すべきでないこと

  • 大文字、小文字や特殊文字、桁を一定数必要とするパスワードの複雑さの要件を設定
  • パスワードに有効期限を設定
  • ユーザーの個人的な情報をセキュリティ質問で使用
  • パスワードを思い出させるためのヒントを使用

 

実施すべきこと

  • 長いパスワード(8文字以上、最長64文字)
  • 表示可能文字のASCII,Unicodeや空白の使用を許可
  • Password1やqwerty123などの違反したパスワード、辞書単語をブラックリストに設定
  • aaaa1234や123456などの連続した同じ文字の使用を制限
  • 強固なパスワードチェッカーを使用
  • 連続で認証失敗した場合に強制的にアカウントをロック
  • パスワードの入力でペースト機能の使用を許可
  • パスワードの他、別の種類による二要素認証を強制

 

NISTパスワードガイドラインは、長年当たり前だと考えられたパスワードの安全性のベストプラクティスとは大きく異なります。例えば、NISTではより強固なパスワードを設けるために最も重要な設定の1つとみなされるパスワードの複雑さを使用不可にすることを推奨しています。

何故ならば、パスワードの複雑さのルールを強制するとユーザーは容易に予測できるパスワード(例:password1!)を設定し、どこかにパスワードを書き留める傾向にあるためです。

他にも、安全性のベストプラクティスとして考えられているパスワードの有効期限も、NISTパスワードガイドラインに反します。MicrosoftもまたWindowsのパスワードの有効期限の設定は近い将来無くなるであろうと主張しています。

 

Active Directory(AD)にNISTのガイドラインを適用

多くの組織では、ADサーバーが認証によりアクセス範囲を制限します。ADサーバーはNISTが推奨するNISTセキュリティガイドラインの多くを満たしていないため、必要とされているドメインパスワードのポリシー設定ができません。(例:辞書単語をブラックリストに設定、パスワードの強さチェッカーを設定、二要素認証を実施)

その他NIST発行の情報セキュリティ関連文書についても解説しております。

 

ADSelfService PlusはNIST提唱ガイドラインにどうに役立つのか?

ManageEngine ADSelfService PlusはADのパスワードのセルフサービスや、シングルサインオンを提供する統合ソリューションです。次のことを実施いただけます:

  • 辞書単語使用を制限
  • パスワードの強度チェッカーを設定
  • Unicode文字使用を制限
  • 繰り返し文字使用を制限
  • パスワードリストを含むファイルを設定
  • 変更の際にパスワードの強度を表示

上記に加え、二要素認証の実施やOUとグループ単位でのパスワードポリシーの適用など認証に関する様々な機能を提供します。

図 1.ADSelfService Plusのパスワードポリシー設定画面

 

まとめ

今回のブログではNISTが提唱するパスワードのガイドラインについて紹介しました。皆さまのセキュアな活動に繋がれば幸いです。

ただし、サイバー攻撃は常に進化しており、NISTのガイドラインを守るだけでは本質的な解決策とはなりません。所属する業界のセキュリティ要件やITコンプライアンス等、他の要素と絡めながら組織にとって最適な方法を考慮する必要があります。

もし組織のセキュリティに不安がある場合はこちらからお気軽にオンライン相談いただけます。

 

なお、今回ご紹介したADSelfService Plusが気になった方は以下からチェック可能です。

 

以上


Tags : ID管理 / NISC / NIST / セキュリティ / パスワード / 二要素認証
ManageEngine事業部

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。