利用者ごとに個別のIDを付与しなければならない

　2回に分けて，論理アクセスに関するPCI DSSの要件を確認していく。IDについての体系とライフサイクルを計画し，ライフサイクルを確実に運用する必要がある。決めるのは簡単でも，新規発行，権限変更，削除といったルーティンを回すのに手間がかかるのがID管理である（図1）。

図1●IDの更新

　グループID（共有ID）などを使用して個別のユーザー名を与えないと，ファイルごとのアクセス履歴を調査するときに，個人の特定が不可能になる。リモート・サイトからのメンテナンスのために業者に渡すメンテナンス用のIDや，OS既定の管理者アカウントなどについても考慮する必要がある。

　メンテナンス用のIDについては，自社内規定でIDの共有を不許可にしていた場合でも，業者内で共有されてしまってはID管理として不十分となってしまう恐れがある。また，OS既定の管理者アカウント自体は，広く知られた既知のものである場合が多く，ID名から高い権限のある管理者アカウントであることを推測されるリスクがあるため，別名に変更するなどの対策を実施する必要がある。

　IDの割り当てとメンテナンスにおける手順・管理がおろそかになると，正しい認証・許可が行われないことが想定されるため，ID体系の確立とライフサイクル管理が必要である。特にPCI DSSでは，特定期間以内（要件8.5でも記述のあるように90日以内）の変更が必要となる。企業内では，ユーザーが複数のシステムを利用しているが，複数のシステムに対して特定期間ごとの変更を適切に実施するためには，ID体系とライフサイクル管理の一元的な管理が必要となる（図2）。

図2●複数のパスワード

　ここでは，論理的なアクセスに対して認証されることを要求している。通常ログインすることを「認証された」と表現することがあるが，正確には，識別と認証は異なるものである。

識別（Identification）：他と自分を区別するプロセス
認証（Authentication）：本人性を確認するプロセス
認可（Authorization）：ユーザーが実行許可されている操作の指定

　本人性の確認（パスワードや生体認証など）を含めて識別することにより，「確かに本人であること」を確認することが認証であると言える。認証のポイントは「自分だけが知っている（something you know）」「自分だけが持っている（something you have）」「本人の特徴（something you are）」のいずれかを提示することである。

【自分だけが知っている（something you know）】例：パスワード

　自分のみのパスワードを他人に知られてしまうことやグループ内で共有することなどで「自分だけが知っている」という状況ではなくなってしまうので，このような行為は「自分だけが知っている」という目的を達せない行為となる。また，パスワードを極端に長くしてしまうと，定期的な変更が面倒になる，複雑すぎて覚えられない，めったに使用しないので忘れてしまう，それを防止するためにメモ書きとして残してしまう，ほとんど変更のない（もしくは全く同じ）パスワードを使用してしまう，といったケースの発生が想定される。こうしたことがセキュリティホールへとつながるため，パスワードの強度は十分に検討する必要がある。

【自分だけが持っている（something you have）】例：トークン・デバイス

　トークン・デバイスとパスワードの違いは，パスワードは誰でもパスワードを解読する目的で入力することができるが，トークン・デバイスはそのデバイスをもっていないとパスワードの入力ができないことである。デバイスの中にある情報，パスワードの二つが正確にそろわないと有効な認証がされない。

【本人の特徴（something you are）】例：バイオメトリックス

　最近では，銀行，携帯電話でもよく見かけるようになり，指紋認証も一般に普及している。バイオメトリックスといっても，指紋，静脈，網膜などいろいろな種類がある。これらは，パスワードやトークン・デバイスなどと比較しても紛失，盗難の可能性が低くなる。バイオメトリックスについては，FRR（本人が誤って拒否される割合），FAR（他人を誤って受け入れる割合）の議論とともに，複製可能性の議論がついてまわるが，現状では本人の特徴を利用した手段のうち利便性の高いものであることは間違いない。各バイオメトリクスのメリット・注意点などは，昨年のIPAの資料「生体認証導入・運用のためのガイドライン」に分かりやすく解説されている。