2024年8月、NIST(米国国立標準技術研究所)が「NIST SP 800-63B-4」の第2次公開草案を発表しました。このガイドラインでは、パスワードの長さを15文字以上推奨とし、複雑性要件や定期的な変更義務を廃止するなど、認証に関する新たな基準が示されています。本記事では、企業の情報セキュリティ担当者が注目すべきポイントや、今後の認証ベストプラクティスについて解説します。
NISTの新ガイドラインのドラフト版が公開
2024年8月に、NISTより、NIST SP800-63B-4の第2次公開草案(2nd Public Draft)が公開されました。NIST SP 800-63は、日本では「電子認証に関するガイドライン」という名前でIPAからも日本語訳が公開されているガイドラインで、世界的に強い影響力を持つガイドラインの一つです。2023年3月には、このガイドラインの第4版となるNIST SP800-63-4のドラフト版が公開されています。今回はその第2次公開草案となりますが、そのうちの「認証とライフサイクル管理」に関する63Bについて取り上げます。
NIST SP800-63の構成
| NIST SP800-63A | 登録と身元確認 |
| NIST SP800-63B | 認証とライフサイクル管理 |
| NIST SP800-63C | フェデレーションとアサーション |
NIST SP800-63B-4第2次公開草案では、パスワード関連において、初期公開版からいくつかの変更点があります。パスワードの長さについては、最小8文字という基準を維持しつつ、15文字以上を推奨するようになりました。最大長は少なくとも64文字に設定する必要があります。複雑性要件に関しては、特定の文字タイプの混合を要求するなどの合成規則を課すことを明確に禁止しています。代わりに、Unicode文字の使用を推奨し、パスワードの選択肢を広げています。ブロックリストの使用については、過度に大きなリストは不要であるとの見解を示しています。オンライン攻撃はすでにスロットリング要件によって制限されているためです。新たにパスワードにはフィッシング耐性がないことを明記されており、この脆弱性に対する認識を高めています。パスワード管理ツールの使用については、引き続き許可すべきとしていますが、関連する参考文献が追加されました。定期的なパスワード変更要求については、2017年の第3版から引き続き、セキュリティ侵害の証拠がない限り不要としています。
NIST SP800-63B-4第2次公開草案から読み解くポイント
初期公開版との差は先に述べた通りですが、最新の第2次公開草案のポイントであると考えられるのは、以下の4点です。
- パスワード文字数は15文字以上が推奨され、最大長は少なくとも64文字
- パスワードの複雑性要求(複数の文字タイプの要求)の廃止
- 定期的な強制変更の廃止
- 秘密の質問の廃止
特にパスワード文字数に関する問題は、弊社の脆弱性診断においても頻繁に検出されております。下表に2024年上半期に実施したWebアプリケーション脆弱性診断結果の中で順位が高い項目をまとめました。
弊社「SQAT® Security Report」2024-2025年秋冬号 p.18より
この中で3位となる「脆弱なパスワードの許容」は、パスワードの長さが8文字未満の場合に弊社では「高」リスクと判定し、指摘しているものとなります。最近、米国のセキュリティ企業が発表したAIを用いたパスワードの解析にかかる時間の調査結果では、8文字未満のパスワードは、例え大文字・小文字のアルファベット、数字、記号がすべて含まれていたとしても6分以内に解析できることが分かりました。(ちなみに、14文字ではパスワードがすべて小文字のアルファベットで構成されていたとしても、解析に49年かかる結果が出ています)このことからも、世の多くのシステムが大きな危険に晒されているというのが分かるかと思います。パスワードの長さについては、これまでにもMicrosoftやFBIからガイダンスが出ていますので、気になる方はあわせてご確認ください。
■Microsoft
https://support.microsoft.com/en-us/windows/create-and-use-strong-passwords-c5cebb49-8c53-4f5e-2bc4-fe357ca048eb
■FBI
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-with-passwords
パスワード認証の限界
今回の改定で強く打ち出されているのは、複雑で人間にとって記憶不可能なランダム文字列よりも、長大なパスワードであることの方が推奨されるということです。また、定期的な変更をするよりも、複数システムで同じパスワードを使い回さないということが重要である、ということも同様です。
パスワード認証は長年にわたり広く使用されてきましたが、ユーザは多数のアカウントを管理する必要があり、長大なパスワードを使い回しせずに、すべてを記憶することは現実的に考えて困難です。仮にパスフレーズやパスワード管理ソフトを用いて解決を図ったとしても、フィッシング攻撃やデータ漏洩により、パスワードが容易に盗まれる危険性や、将来の処理能力の向上によるブルートフォース攻撃のリスクというものは健在です。結果、パスワード認証の限界を見据えたときに、代替として考えられるのが、多要素認証や生体認証です。
主な認証技術
まず、そもそも認証にはどのような要素があるかを振り返りましょう。認証の要素になり得るのは、その本人だけに属するモノ・コトです。それらとしては、下図のとおり、「知識」「所持」「生体」の3種類の要素が挙げられます。
Webサービスやスマホアプリにおいて使用されている認証方式には、前述した3要素のうち1つだけを用いる単要素認証(パスワードのみの認証など)、2つ以上の要素を組み合わせる多要素認証(パスワード+スマホで受信した認証コードなど)、また、認証を二段階で行うが、認証要素自体は同じ場合もある二段階認証(パスワード+秘密の質問など)があり、いずれの方式も、次のような認証技術を組み合わせて行われます。
認証機構のベストプラクティス
現在、認証機構のベストプラクティスと考えられるのが、多要素認証です。なかでも普及が進む「FIDO2」は、有望な選択肢と言えるでしょう。FIDO2はユーザ視点ではスマートフォンなどでの生体認証を行うというステップで認証が完了するように見えることから、利便性が高いと考えられます。他方、システム側から見た場合、公開鍵認証と生体認証などの多要素による認証がセットになっていることから、ユーザの設定による認証強度の低下に影響されにくい方式であることは、サービスを提供する側からみて大きな利点といえます。
多要素認証「FIDO2」
まずは現状の認証が安全か確認することから
安全な認証機構を実現するための第一歩として、現在実装している認証機構や情報漏洩対策が安全かどうか確認することが推奨されます。確認には定期的なセキュリティ診断の実施が有効です。様々なセキュリティサービスベンダより各種メニューが提供されているため、対象システムにあわせて実施するとよいでしょう。
セキュリティ診断によりセキュリティ状態が可視化された後は、対策の実施レベルや時期を検討しましょう。対策にあたっては、リスクに応じて優先度を定めた上で行うことが有効です。システム特性ごとに必要十分なセキュリティを保持した認証を実現するためには、認証に関してどのような技術があるのか、どのようなセキュリティリスクに対応できる仕組みなのか把握しておくことが大切です。
【参考】ガイドライン
NISC「インターネットの安全・安心ハンドブック」
https://security-portal.nisc.go.jp/guidance/handbook.html
BBSecでは
サイバーインシデント緊急対応
SQAT脆弱性診断サービス
Webアプリケーション脆弱性診断-SQAT® for Web-
Webサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、攻撃の入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時やリリース前ばかりでなく、既存システムに対する定期的な実施といった、現状の脆弱性対策の有効性を確認するために活用することをおすすめしています。 以下より、サービス内容が記載されている資料のダウンロードもいただけます。
ウェビナー開催のお知らせ
「インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-」
「ランサムウェア攻撃の実態と対策:2024~脅威に備える最新の対策法を解説~」
「脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー」
最新情報はこちら
Security Report TOPに戻る
TOP-更新情報に戻る
