タグ: #脆弱性診断

投稿日:

NIST SP 800-63B改訂のポイントとは?企業に求められるパスワード・認証対策

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

企業の認証セキュリティ強化に欠かせないNIST(米国国立標準技術研究所)のガイドライン「NIST SP 800-63」シリーズ。2024年8月、「NIST SP 800-63B」の第2次公開草案(2nd Public Draft)が発表され、パスワード管理や多要素認証に関する実務対応が注目を集めています。本記事では、企業の情報システム担当者向けに改訂のポイントと対策をわかりやすく解説します。

NIST SP 800-63シリーズの構成と企業における役割

「NIST SP 800-63」は世界的に強い影響力を持つガイドラインの一つです。日本では「電子認証に関するガイドライン」という名前で独立行政法人情報処理推進機構(IPA)からも日本語訳が公開されています。本シリーズは以下の4つの文書で構成されており、それぞれがID管理と本人認証の異なる側面を担います。

NIST SP800-63の構成

SP 800-63(概要)フレームワーク全体とリスクベース認証の考え方を解説
SP 800-63A(IDの証明)本人確認プロセスの信頼性を定義
SP 800-63B(認証とライフサイクル管理)パスワード、多要素認証、セッション管理などを規定
SP 800-63C(フェデレーション)外部IDプロバイダー連携の仕組みを定義

この中でも、企業におけるID・アクセス管理(IAM)設計に最も影響を与えるのが「SP 800-63B」です。2024年8月に改訂されたNIST SP800-63B-4第2次公開草案では、パスワード関連において、初期公開版からいくつかの変更点があります。

NIST SP800-63B-4第2次公開草案の4つの注目ポイント

2024年8月に公開されたNIST SP 800-63B-4 第2次公開草案では、現代の攻撃手法や認証環境の変化を踏まえた見直しが行われています。以下の4点は、企業の認証ポリシーに直接影響を与える重要な改訂ポイントです。

パスワードの文字数要件の強化

パスワードの長さについては、最小8文字という基準を維持しつつ、15文字以上を推奨するようになりました。最大長は少なくとも64文字に設定する必要があります。

強制的な定期変更の廃止

定期的なパスワード変更要求については、2017年の第3版から引き続き、セキュリティ侵害の証拠がない限り不要としています。

複雑性ルールの削除

複雑性要件に関しては、特定の文字タイプの混合を要求するなどの合成規則を課すことを明確に禁止しています。代わりに、Unicode文字の使用を推奨し、パスワードの選択肢を広げています。

脆弱な認証手段の廃止

「秘密の質問」など、再現性が高く推測されやすい認証手段は非推奨と明記。代替手段としてFIDO2やOTP(ワンタイムパスワード)などの強力な要素の活用が求められます

この他にも、ブロックリストの使用については、過度に大きなリストは不要であるとの見解を示しています。オンライン攻撃はすでにスロットリング要件によって制限されているためです。新たにパスワードにはフィッシング耐性がないことを明記されており、この脆弱性に対する認識を高めています。また、パスワード管理ツールの使用については、引き続き許可すべきとしていますが、関連する参考文献が追加されました。

特にパスワード文字数に関する問題は、弊社の脆弱性診断においても頻繁に検出されております。下表に2024年上半期に実施したWebアプリケーション脆弱性診断結果の中で順位が高い項目をまとめました。

弊社「SQAT® Security Report」2024-2025年秋冬号 p.18より

この中で3位となる「脆弱なパスワードの許容」は、パスワードの長さが8文字未満の場合に弊社では「高」リスクと判定し、指摘しているものとなります。最近、米国のセキュリティ企業が発表したAIを用いたパスワードの解析にかかる時間の調査結果では、8文字未満のパスワードは、例え大文字・小文字のアルファベット、数字、記号がすべて含まれていたとしても6分以内に解析できることが分かりました。(ちなみに、14文字ではパスワードがすべて小文字のアルファベットで構成されていたとしても、解析に49年かかる結果が出ています)このことからも、世の多くのシステムが大きな危険に晒されているというのが分かるかと思います。パスワードの長さについては、これまでにもMicrosoftやFBIからガイダンスが出ていますので、気になる方はあわせてご確認ください。

■Microsoft
https://support.microsoft.com/en-us/windows/create-and-use-strong-passwords-c5cebb49-8c53-4f5e-2bc4-fe357ca048eb
■FBI
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-with-passwords

パスワード認証の限界と多要素認証への移行

企業における認証基盤では、依然としてパスワードに依存した運用が多く見られます。しかし、NIST SP 800-63Bでは単要素認証の限界が明確に指摘されており、セキュリティ強化には多要素認証(MFA)の導入が不可欠です。

特に今回のNIST SP 800-63B-4 第2次公開草案では、従来のパスワード運用を見直す方向性がより強調されています。たとえば「複雑性ルール」や「定期変更の義務」が削除される一方、15文字以上の長文パスワード(パスフレーズ)を受け入れることが求められています。これは、従来の複雑なルールよりも、ユーザが記憶しやすく、かつ安全な認証方法へと進化させる意図があります。

とはいえ、パスワードそのものが攻撃対象となる現実は変わりません。パスワードリスト攻撃やフィッシング、キーロガーなどによってパスワードが盗まれる事例は後を絶ちません。これに対応する手段として、NISTは「フィッシング耐性を持つMFA」の採用を推奨しています。中でもFIDO2(WebAuthn)やスマートカード、生体認証などは、高い安全性を備えています。

企業のセキュリティ担当者は、パスワード運用の見直しと同時にMFAの段階的導入を検討すべきフェーズにあります。特に「シングルサインオン(SSO)」や「IDaaS(Identity as a Service)」との連携により、ユーザ負担を軽減しながら高いセキュリティを実現する設計が可能です。

主な認証技術

まず、そもそも認証にはどのような要素があるかを振り返りましょう。認証の要素になり得るのは、その本人だけに属するモノ・コトです。それらとしては、下図のとおり、「知識」「所持」「生体」の3種類の要素が挙げられます。

Webサービスやスマホアプリにおいて使用されている認証方式には、前述した3要素のうち1つだけを用いる単要素認証(パスワードのみの認証など)、2つ以上の要素を組み合わせる多要素認証(パスワード+スマホで受信した認証コードなど)、また、認証を二段階で行うが、認証要素自体は同じ場合もある二段階認証(パスワード+秘密の質問など)があり、いずれの方式も、次のような認証技術を組み合わせて行われます。

多要素認証「FIDO2」など先進的認証技術の導入メリット

FIDO2は公開鍵暗号を用いたパスワードレス認証で、認証情報をサーバに送信しないため、フィッシングやリプレイ攻撃に強いのが特長です。

多要素認証「FIDO2」

FIDO2はユーザ視点ではスマートフォンなどでの生体認証を行うというステップで認証が完了するように見えることから、利便性が高いと考えられます。他方、システム側から見た場合、公開鍵認証と生体認証などの多要素による認証がセットになっていることから、ユーザの設定による認証強度の低下に影響されにくい方式であることは、サービスを提供する側からみて大きな利点といえます。また、ユーザは指紋や顔認証、セキュリティキーなどを用いて高速かつ直感的な認証が可能となり、IT部門のパスワード管理コストも削減できます。企業のゼロトラスト構築やセキュリティポリシー整備にも貢献するFIDO2は、今後の多要素認証のスタンダードといえるでしょう。

自社システムでの評価・実装方法

NIST SP 800-63のガイドラインに準拠した認証設計を進めるには、まず現行のシステムにおける認証手段の棚卸とリスク評価が必要です。パスワードの強度、多要素認証の有無、認証情報の保管方式などを精査し、SP 800-63Bが推奨する項目と照らし合わせることで、改善すべき点が明確になります。

また、FIDO2やOTPの導入にあたっては、SSOやIDaaSとの連携も視野に入れ、ユーザ体験と運用負荷のバランスを考慮することが重要です。小規模な範囲から段階的に展開することで、移行リスクを抑えた実装が可能となります。

まずは現状の認証が安全か確認することから

安全な認証機構を実現するための第一歩として、現在実装している認証機構や情報漏洩対策が安全かどうか確認することが推奨されます。確認には定期的なセキュリティ診断の実施が有効です。様々なセキュリティサービスベンダより各種メニューが提供されているため、対象システムにあわせて実施するとよいでしょう。

セキュリティ診断によりセキュリティ状態が可視化された後は、対策の実施レベルや時期を検討しましょう。対策にあたっては、リスクに応じて優先度を定めた上で行うことが有効です。システム特性ごとに必要十分なセキュリティを保持した認証を実現するためには、認証に関してどのような技術があるのか、どのようなセキュリティリスクに対応できる仕組みなのか把握しておくことが大切です。

【参考】ガイドライン
NISC「インターネットの安全・安心ハンドブック
https://security-portal.nisc.go.jp/guidance/handbook.html

BBSecでは

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

SQAT脆弱性診断サービス

Webアプリケーション脆弱性診断-SQAT® for Web-

Webサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、攻撃の入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時やリリース前ばかりでなく、既存システムに対する定期的な実施といった、現状の脆弱性対策の有効性を確認するために活用することをおすすめしています。 以下より、サービス内容が記載されている資料のダウンロードもいただけます。

Webアプリケーション脆弱性診断バナー

ウェビナー開催のお知らせ

  • 2025年6月25日(水)13:00~14:00
    リモートワークの落とし穴を塞ぐ!セキュリティ情報の効率的な収集法&対策のポイント
  • 2025年7月2日(水)13:00~14:00
    いまWeb担当者が知るべきプライバシー対応と情報セキュリティ-プライバシー保護規制と進化するサイバー攻撃手法への対応-
  • 2025年7月16日(水)14:00~15:00
    進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-

    • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    脆弱性診断の基礎と実践!
    手動診断とツール診断の違いを徹底解説 
    第1回:手動診断のメリットとは?

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    脆弱性診断とは、システムやアプリケーション、ネットワークなどに潜むセキュリティ上の弱点(脆弱性)を特定する検査手法です。本記事は「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの第1回として、脆弱性診断の手法の一つである「手動診断」のメリットや適用すべきケースを解説します。

    第2回「ツール診断のメリットとは?」はこちら

    脆弱性診断とは?

    脆弱性診断とは、システムやアプリケーション、ネットワークなどに潜むセキュリティ上の弱点(脆弱性)を特定する検査手法です。サイバー攻撃のリスクを最小限に抑えるために、企業が実施するべきセキュリティ対策の一つとされています。

    セキュリティ対策としての脆弱性診断の重要性

    近年、サイバー攻撃は巧妙化・多様化しており、企業のシステムやWebサービスが標的になるケースが増えています。攻撃者は、脆弱性を悪用して不正アクセスを試みたり、情報を窃取したりするため、事前に脆弱性を発見し、適切な対策を行うことが重要です。特に、以下の理由から脆弱性診断の実施が推奨されています。

    • データ漏えいの防止:個人情報や機密データの流出を防ぐ
    • サービスの継続性を確保:システム停止や改ざんを未然に防ぐ
    • 法令・ガイドラインの遵守:情報セキュリティに関する規制対応(ISMS、NIST、PCI DSS など)
    • 企業の信頼性向上:セキュリティ対策の強化によるブランド価値の維持

    脆弱性診断の一般的な手法

    脆弱性診断には、主に以下の2つの手法があります。

    1.ツール診断(自動診断)

    • 脆弱性診断ツールを使用し、自動でシステムのセキュリティをチェック
    • 短時間で広範囲を診断でき、コストを抑えやすい
    • ただし、誤検出や一部検査できない項目もある

    2.手動診断(セキュリティエンジニアによる診断)

    • 専門家がシステムの動作やコードを解析し、精密な診断を行う
    • 網羅的な範囲での診断ができる
    • 高精度な診断が可能だが、コストと時間がかかる

    このように、脆弱性診断は企業のセキュリティ対策の基盤となる重要な取り組みであり、ツール診断と手動診断を適切に組み合わせることで、より効果的な対策が実現できます。

    手動診断とは?

    手動診断とはセキュリティエンジニアがツールを活用し、システムやアプリケーションの脆弱性を調査・分析する診断手法です。一般的な診断ツールでは検出しにくい複雑な脆弱性や攻撃手法にも対応できるため、より高精度な診断が可能になります。

    手動診断の一般的な実施プロセス

    手動診断の一般的な実施プロセスは以下のとおりです。

    1.事前調査・ヒアリング

    • 対象システムの構成や使用技術、セキュリティ要件を確認
    • 想定される脅威シナリオの洗い出し

    2.情報収集

    • システムの公開情報や利用可能なエントリポイントの特定
    • OSやミドルウェア、アプリケーションのバージョン情報を分析

    3.手動テスト・脆弱性の特定

    • システム固有の処理に基づく攻撃シナリオの検証
    • ツールでは検出が難しい脆弱性(例:権限昇格、認証回避、APIの悪用)の発見

    4.診断結果の分析とレポート作成

    • 発見された脆弱性のリスク評価(重大度の分類)
    • 具体的な対策案を含めたレポート作成

    5.フィードバックと改善提案

    • お客様に診断結果を共有し、改善策を提案。必要に応じて再診断を実施

    手動診断のメリット

    手動診断を実施するメリットは、特に以下の3つの点があります。

    1.高精度な診断が可能(ツール診断では見落としがちな脆弱性も発見できる)

    自動ツールでは検出が難しい複雑な脆弱性やシステム固有のセキュリティリスクを特定できるのが、手動診断の大きな強みです。ツール診断はパターンマッチングやシグネチャベースでの診断が主ですが、手動診断では環境に応じた柔軟なテストが可能です。例えば、認証バイパスや権限昇格などの一部の脆弱性は、手動診断でないと見つけにくいケースが多くあります。

    2.システム固有の処理を考慮した診断が可能(攻撃者視点でのリスク分析)

    攻撃者がどのような手法でシステムを侵害できるかを想定し、システム固有の脆弱性を考慮した診断が可能です。例えば、Eコマースサイトでは、カート機能を悪用した決済の不正操作、ログイン処理の回避、注文金額の改ざんなどのシステム固有の処理に存在する脆弱性が狙われます。このような攻撃パターンは、ツールでは自動検出が困難です。企業のシステムに対する実際の攻撃手法を再現し、攻撃者視点でリスクを洗い出すことで、より実践的な対策が可能になります。

    3.診断結果の詳細なレポートと具体的な改善策の提示

    手動診断では、単に脆弱性の有無を報告するだけでなく、診断結果の詳細な分析と、具体的な改善策の提案が可能です。

    • 脆弱性のリスク評価
      発見された脆弱性に対して、攻撃が実際に実行された場合の影響度を評価し、対応の優先度を明確にします。これにより、企業がどの対策を優先すべきか判断しやすくなります。
    • システムに適した改善策の提案
      対象システムの構造や運用に最適な対応策を提示できます。
    • 組織のセキュリティレベル向上に貢献
      診断後のレポートを活用することで、企業の開発・運用チームがセキュリティ意識を高め、今後のリスク管理をすることに役立ちます。

    セキュリティエンジニアによる分析の重要性

    手動診断が有効な理由は、セキュリティエンジニアの専門知識と攻撃者視点の分析が加わることで、より実践的な脆弱性の発見が可能になるためです。コストや時間がかかるものの、企業の重要なシステムや高度なセキュリティ対策が求められる環境では、不可欠な診断手法といえます。

    手動診断が適しているケース

    手動診断は特に以下のケースで実施が推奨されます。

    1.Webアプリケーションやシステムの重要な部分を診断したい場合

    企業の基幹システムやWebアプリケーションは、ビジネスに直結する重要な資産であり、セキュリティの脆弱性が重大な被害につながる可能性があります。手動診断を行うことで、攻撃者の視点から脆弱性を洗い出し、リスクを最小限に抑えることができます。ミッションクリティカルなシステム(決済システム、顧客管理システム(CRM)、医療情報システム)など、情報漏えいや不正アクセスの影響が大きいシステムにも最適です。

    2.ツール診断では対応できない複雑な脆弱性を特定したい場合

    ツール診断は一般的な脆弱性をスキャンするのに適していますが、攻撃者が巧妙に悪用するような複雑な脆弱性の検出には限界があります。手動診断では、ツールでは見つけられない高度な攻撃パターンを想定して診断を行うことができます。

    • ツール診断では発見しにくい脆弱性の例
      ・システム固有の処理の不備(例:注文金額の改ざん、認証バイパス、不正送金)
      ・認証・認可の欠陥(例:権限昇格、APIの不正利用、セッション管理の不備)
      ・ゼロデイ攻撃のリスク評価(ツールでは未知の脆弱性を検出できない)
    • 手動診断が有効なケース
      ・ツール診断の結果に基づき、より詳細な調査が必要な場合
      ・重大な脆弱性が懸念されるシステムで、ツールの誤検出や見落としが心配な場合

    3.企業独自のシステムに合わせたセキュリティ診断が必要な場合

    標準化された診断ツールは、広く一般的な脆弱性を検出するのに適していますが、企業が開発した独自システムの仕様に依存する一部の脆弱性の検出はできません。手動診断では、個々の企業システムに合わせた診断も可能です。

    • 特定の業界や業務フローに依存するシステム
      ・金融機関のオンラインバンキングシステム
      ・ECサイトのカート・決済フロー
      ・医療機関の電子カルテシステム
    • 企業のポリシーに基づいたカスタム診断
      ・企業独自のセキュリティ要件に基づいた診断が可能
      ・企業の内部プロセスを考慮したセキュリティ評価ができる

    手動診断を実施する際の注意点

    手動診断を実施する際にはいくつかの注意点があります。特に、コストや診断期間の確保について事前に理解しておくことが重要です。

    1.コストが高くなる傾向がある

    手動診断は専門のセキュリティエンジニアが個別に対応するため、ツール診断と比較してコストが高くなりやすいという特徴があります。なぜコストが高くなるのでしょうか。

    • エンジニアの専門知識と経験が必要
      ・セキュリティの専門家がシステムの構造や処理を分析し、最適な攻撃シナリオを考慮するため、人件費がかかる。
    • 診断範囲に応じた工数が発生
      ・大規模なシステムや複数のアプリケーションを対象にする場合、診断工数が増え、それに伴いコストも上昇。
    • カスタム診断が必要な場合は追加費用が発生
      ・企業独自のシステムや特殊な環境(IoT、クラウド環境、APIなど)の診断には、標準的な診断手法ではカバーできないケースがあり、追加費用が必要になることも。

    2.診断に時間がかかる(スケジュールの確保が必要)

    手動診断は、対象システムの規模や複雑さに応じて診断期間が長くなる傾向があります。企業の規模によっては数週間~数か月程度かかる場合もあるため、診断を実施する際は、事前に十分なスケジュールを確保することが重要です。

    まとめ

    手動診断はセキュリティエンジニアがツールを活用し、システムやアプリケーションの脆弱性を調査・分析する診断手法です。診断結果はレポートとして具体的な改善策を提示し提供されるため、企業のセキュリティレベル向上に貢献します。ただし、コストが高く、診断には時間がかかるため、ツール診断と組み合わせることで、効率的かつ精度の高いセキュリティ対策が可能になります。企業のシステムやWebアプリの重要な部分を守るためには、ツール診断と手動診断を上手く組み合わせて実施することが有効です。

    CPEサービスリンクバナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ―第2回「ツール診断のメリットとは?」はこちら―
    ―第3回「手動診断とツール診断、どちらを選ぶべきか?最適な診断方法の選び方」はこちら―

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像