要件8 コンピュータにアクセスする利用者毎に個別のIDを割り当てること |
前回に引き続きID管理を解説する。
8.3 従業員、アドミニストレータ、第三者によるネットワークへのリモート・アクセスのために、二要素認証を導入する。Remote authentication and dial-in service(RADIUS)またはterminal access controller access control system(TACACS)とトークン、VPN(SSL/TLSかIPSECに基づく)と個別証明書、などの技術の組合せを使用する。 |
パスワードを二つ設定している場合には「自分だけが知っている(something you know)」という一つの要素が二つ設定されていると解釈されるため,2要素認証とは言えない。「自分だけが知っている(something you know)」「自分だけが持っている(something you have)」の二つの要素を組み合わせることが,2要素認証となる。
2要素認証の導入前に検討しなければならないことが二つある。それは,アクセス領域と認証ポイント(ログインなど)の両方を明確にしておくことである。この二つについては物理的なアクセスについても考え方の多くの部分で重複する。この二つが準備できない状態で2要素認証を導入し,抜け道から2要素認証無しで侵入できてしまっては,せっかく2要素認証を導入しても本来の意味がなくなってしまう。
8.4 すべてのシステム・コンポーネント上での伝送と保管の処理において、すべてのパスワードを暗号化する。 |
パスワードに関する暗号化の要件である。保管状態と伝送経路上の両方で,パスワードは暗号化される必要がある。保管状態についての暗号化については,パスワードを記録したファイルが盗まれることでパスワードが盗まれてしまうことを防ぐのが目的である。伝送経路上のパスワードの暗号化は,流れているパスワードを盗まれないようにすること,また,2要素認証などを使用していた場合でも通信のデジタル・スプーフィング(認証機器に残存するデータを読み込むデジタル・スプーフィングなどもある)の可能性を低くすることが目的である。
8.5 すべてのシステム・コンポーネント上において、非消費者ユーザーとアドミニストレータに対する適切なユーザー認証と、パスワード管理を徹底する。 |
この要件では,パスワード管理について定義している。「非消費者ユーザーとアドミニストレータ」は,カード所有者がWebサイト上などで利用するアカウントなどである「消費者ユーザー」に比べて権限が高いことから,パスワード漏えいに伴うリスクが大きい。そのため,この要件8.5では,パスワード管理の徹底を求めている。
そこに注意して,以下の16項目を見ていこう。16項目は大きく「パスワード運用」「パスワード管理」「パスワード設定」という三つに分類できる。まずは,パスワード運用から(表2)
8.5.4 | 離職したユーザーのアクセスは直ちに取り消す。 |
8.5.5 | 少なくとも90 日ごとに休眠状態のユーザー・アカウントを取り除く。 |
8.5.6 | ベンダーがリモート保守に使用するアカウントは,必要な時間帯のみ有効にする。 |
8.5.7 | カード会員データにアクセスできるすべてのユーザーに,パスワード利用手順とポリシーを配布する。 |
8.5.8 | グループ,共有または汎用のアカウントとパスワードを使用しないこと。 |
8.5.16 | カード会員データを保管するデータベースへの、すべてのアクセスを認証する。これには,アプリケーション,アドミニストレータ,他のすべてのユーザーによるアクセスが含まれる。 |
パスワード運用の部分では,8.5.16が実装上問題になる。8.5.16では,認証(本人性の確認が必要である)されることが要求されている。次にパスワード管理(表3)。
8.5.1 | ユーザーID,証明書,その他識別オブジェクトの追加,削除,変更を管理する。 |
8.5.2 | パスワードをリセットする前に,ユーザーが本人であることを検証する。 |
8.5.13 | ユーザーID をロックアウトすることにより,連続したアクセス試行を6 回以内に制限する。 |
8.5.14 | ロックアウト時間は30 分間,またはアドミニストレータがユーザーID を有効にするまでとする。 |
8.5.15 | セッションのアイドル時間が15 分を超えた場合,ユーザーは端末を再び利用するためにパスワードを入力し直さなければならないようにする。 |
ロックアウトとは,辞書攻撃,ブルート・フォースアタックなどで連続して(PCI DSSでは,6回以内)ログオンの失敗を繰り返した場合に,一定時間そのアカウントを無効にする設定である。PCI DSSではこの時間を30分以上もしくはアドミニストレータが解除するまでとしている。
この設定によって,正規のユーザーであっても自身の勘違いによるログオン失敗やCaps Lockの設定などが原因でアカウントがロックされることもある。セッション・タイムアウトについても15分という数値設定がされている。次にパスワード設定を見てみよう(表4)。
8.5.3 | 初回パスワードはユーザーごとに異なる値に設定し,初回使用後、直ちに変更するようにする。 |
8.5.9 | ユーザー・パスワードは少なくとも90 日ごとに変更する。 |
8.5.10 | 最小パスワード長は少なくとも7文字以上にする。 |
8.5.11 | 数字と英字の組合せから成るパスワードを使用する。 |
直近4回に使用されたのと同じパスワードは,新しいパスワードとして使用できないようにする。 |
パスワードの設定では,数値目標が明記されている。ISMSの認証を受けていたり,ほかのガイドラインに準拠したりしていても,上記をすべて実行していることは少ないのではないだろうか。特にユーザー・パスワードは少なくとも90日以内に変更することが求められているが,ほかの認定などを受けている場合,管理者ユーザーと一般ユーザーの間の管理上の厳しさの違いを説明するため,この変更期間の差で違いを説明していることも多い。この場合,厳しさの高さからいうと一般ユーザーを90日に設定すると,管理者ユーザーは,もっと短い期間での更新が必要になってくる。注意すべきである。
分野 | メーカー/ベンダー | 製品/サービス |
ID管理 | RSAセキュリティ | RSA Access Manager |
日立ソフトウェアエンジニアリング | ||
京セラコミュニケーションシステム | GreenOffice Directory | |
エクスジェン・ネットワーク | LDAP Manager | |
日本ヒューレット・パッカード | HP IceWall Identity Manager | |
サン・マイクロシステムズ | Sun Java System Identity Manager | |
日本オラクル | Oracle Identity Management | |
ワンタイムパスワード | RSAセキュリティ | RSA SecurID |
シングルサインオン | シスコシステムズ | Cisco Secure Access Control Server (ACS) |
ビジネスアシュアランス / ネットワンシステムズ セキュリティ事業推進本部 コンサルティング部 第4チーム