NISTの中小企業向けセキュリティ資料でパスワード管理を理解する
アメリカの国家機関であるNIST (National Institute of Standards and Technology/米国国立標準技術研究所)が2017年に改定した「デジタルIDガイドライン」は、パスワードの定期変更は不要であったという報告を行ったことで大きな注目を集めました(参考記事はこちら)。
NISTは情報セキュリティに関して多くの調査研究を行っており、毎月多くの資料が公開されています。その中の一つに、2016年11月に公開された「Small Business Information Security: The Fundamentals」という中小企業向けの情報セキュリティ入門資料があります。今回はこの中から「パスワード」に関する項目を抜粋してご紹介します。
NISTが推奨する強固なパスワードとは
中小企業では、情報システムの専任の責任者がいない、または情報システムの責任者はいるが全てのシステム関連に対応しているためセキュリティ専任ではない場合が多いです。また、パスワードの設定に関する明確な社内基準やセキュリティポリシーがない会社も多いため、場当たりで都度都度対応している企業も多いといえます。
NISTのドキュメントでは「強固なパスワードの使用」を強く推奨しており、「何を持って強固なパスワードとするか」の明確な定義を示しています。
[強固なパスワードの定義: 以下の3つを全て満たすもの]
- 12文字以上
- 英大文字、英小文字、数字、記号4種類全ての利用
- ランダムな文字列(英単語や名前などを含まない)
では、この3つを満たすパスワードと、満たさないパスワードを例にあげてみましょう。
No.1はパスワードの文字数が足りていません。No.2は英大文字、小文字、数字は使われているものの記号は使われていません。またNo.3は人名が入っているため推測が付きやすいものになっています。3つの条件をすべて満たしたパスワードがNo.4となります。企業が作成する全てのパスワードは、No.4のように3つの要素を全て満たすことが推奨されています。
そして、強固なパスワードに加えて以下も推奨されています。
1.重要なシステムに関しては多段階認証の実施
パスワードを入力するという認証を「1段階」とすると、これにもう1つ、または2つの認証を組み合わせるのが「多段階認証」と呼ばれるものです。代表的な物は以下の通りです。
・パスワード入力後にワンタイムパスワードを入力する。
・携帯電話にメッセージが送られ、メッセージ記載の数字を追加入力する
・携帯電話に音声電話がかかってきて、音声自動ガイダンスの数字を追加入力する
なお、中小企業であるが故に、特段推奨されていない認証についても説明されています。例えば、生体認証(指紋認証など)はより高度なセキュリティを提供する仕組みですが、機器が高額だったり、インストールが面倒、システム維持に手間がかかることから、その利用を推奨してはいません。
しかし、2019年にはAndroid端末が生体認証の業界標準であるFIDO2に標準対応すると報じられています。今後、生体認証を行う端末価格が低下することが予想され、これを踏まえてガイドラインも変化するのではないかと推察されます。
2.セキュリティ関連のモジュールをインストール後即座に、ユーザーに複雑なパスワードに変更させる(初期パスワードを継続利用させない)
システムを利用するユーザーの中には、パスワードの変更が面倒であるため初期パスワードのまま使おうとする人がいます。しかし、あらかじめ機器に設定されている初期パスワードは非常に簡単なものが多いため、社内のネットワーク接続設定やセキュリティモジュールをインストールさせた後は、即座にパスワードを変更させる必要があります。
3.パスワードの使い回しを行わない
1つのシステムで利用されているパスワードと全く同一のパスワードが、他のシステムでも利用されている場合、1つのシステムのパスワードが破られると同時に、他のシステムのパスワードも破られることも意味します。パスワードは利用するシステム・サービスごとに全く異なっている必要があります。
なお、多くのユーザーは、パスワードを覚えることが面倒であるため、「***********A」「***********B」というように、ほとんど同じパスワードをわずかに変えて利用していることもあります。しかしながら、これは広義には使い回しに含まれます。このような利用も認めるべきではありません。
しかしながら、現実的に考えると、複雑性の高いパスワードを全て記憶しておくことは大変です。よってNISTは「異なるパスワードを複数覚えることは容易ではないので、パスワード管理ソリューションを利用することも選択肢に上げられる」と記載しています。
パスワード管理ソリューション導入前の注意
NISTは中立的な立場から、パスワード管理ソリューションを導入検討する企業に対し、「全てのシステムのパスワードを一元管理することにより、パスワードが紛失することもあります。パスワード管理ソリューションを購入する前に、十分に比較検証すべきです」と注意を促しています。
そして、こうしたパスワード管理ソリューションがパスワードを暗号化して保管しているかどうかを確認すべきであり、こうしたソリューションにアクセスするためのパスワードは常に強固なパスワードを利用すべきであるとしています。
なお、現在の日本の中小企業の現状を考えると、自前のシステムを一から作っている企業はほとんどなく、クラウド型のサービスを活用している企業が多いかと思います。例えば、マイクロソフトのOffice 365、グーグルのG Suite、CRMのSalesforce、クラウド開発プラットフォームであるAmazon Web Services (AWS) などです。よって、こうしたクラウドサービスへログインする際のパスワード管理と、社内のサーバーなどにログインするときのパスワード管理の両方を考える必要があります。
社内とクラウドの両方のパスワードを管理するIDaaS
社内システムならびクラウドサービスの両方のパスワードを一元管理するソリューションとして、現在注目されているのが「IDaaS (IDentity as a Services: クラウド型IDパスワード管理サービス)」です。かつて、社内のシステムはシングルサインオンツールやディレクトリサービスなどでシングルサインオンを実現していた企業が多くありましたが、こうした製品の多くは社外のクラウドサービスには対応していませんでした。
IDaaSは、社内システムも、クラウドサービスも一元管理できる点に強みがあります。管理者は。上記の3つの要素を満たす強いパスワードをシステム・サービスごとに作成し、その強固なパスワードを使ってユーザーをログインさせることができます。そして、ユーザーは複雑なパスワードを1つだけ記憶しておけばよく、多数のパスワードを覚えておく苦労から解放されます。
IDaaS製品は基本有償で提供されていますが、ユーザー単位課金であるため、人数が少ない中小企業であっても毎月わずかな投資で利用を始めることができます。また、SSL認証局で国内No.1の弊社GMOグローバルサインが提供するIDaaSである「トラスト・ログイン」は、基本機能はアプリ数もユーザー数も無制限で無料で提供しています。
ぜひ弊社トラスト・ログインも含めて、IDaaS製品を比較検討頂き、安全なパスワード管理体制を構築ください。