悪意のある者にWi-Fi機器の悪用をされないためには、Wi-Fi機器の管理IDやパスワードを強 固なものにすることが必要です。 機器の初期パスワードはそのまま利用せず、他の機器等で使用していない複数の文字種や十 分な長さのパスワードを設定しましょう。 安全なパスワード管理. 「パスワードは文字種を組み合わせ8文字(8桁)以上、時々変更しよう」。これは古くて危険な情報です。内外の最新研究を検証した衝撃の結果は「8文字パスワードは弱い!」しかも「強いパスワードを設定したら二度と変更の必要なし!」。過去の常識が変わった理由と対策をご説明します。 これまではパスワードの定期的な変更が推奨されていたが、2017年に米国国立標準技術研究所(nist)がガイドラインで「サービス提供側がパスワードの定期的な変更を求めるべきではない」という旨を示し … パスワード-もっと強くキミを守りたい- : ipa情報処理推進機構 185 users www.ipa.go.jp コメントを保存する前に はてなコミュニティガイドライン をご確認ください 次に、パスフレーズ(認証用の文字列でパスワードより文字数が多く長いもの)に対応するための項目があることです。さて、本ガイドラインではパスワードを含めた認証について、これまでとは何が異なるのか見ていきましょう。本ガイドラインの付属文書である「Authentification and Lifecycle Management(認証とライフサイクル管理)」に取りまとめられています。2017年6月に、米国政府機関であるアメリカ国立標準技術研究所(NIST)が「Electronic Authentication Guideline(電子的認証に関するガイドライン、以下『本ガイドライン』と略)」の最新版である「NIST SP 800-63-3」を発表しました。© 2007-2020 GMO GlobalSign K.K. パスワード管理運用に大きな変更あり パスワードの設定に関する変更. これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(nist)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。 情報処理推進機構(ipa)が、7月7日に「tls暗号設定ガイドライン第3.0版」を発表した。2018年5月の第2.0版から約2年ぶりの改訂となる。 Copyright © 2013 Ministry of Internal Affairs and Communications All Rights Reserved. ãªããå©ç¨ãããµã¼ãã¹ã«ãã£ã¦ã¯ããã¹ã¯ã¼ããå®æçã«å¤æ´ãããã¨ãæ±ãããããã¨ãããã¾ãããå®éã«ãã¹ã¯ã¼ããç ´ããã¢ã«ã¦ã³ããä¹ã£åããããããµã¼ãã¹å´ããæµåºããäºå®ããªããã°ããã¹ã¯ã¼ããå¤æ´ããå¿ è¦ã¯ããã¾ããããããå®æçãªå¤æ´ããããã¨ã§ããã¹ã¯ã¼ãã®ä½ãæ¹ããã¿ã¼ã³åãç°¡åãªãã®ã«ãªããã¨ãã使ãåããããããã«ãªããã¨ã®æ¹ãåé¡ã¨ãªãã¾ããå®æçã«å¤æ´ããããããæ©å¨ããµã¼ãã¹ã®éã§ä½¿ãåãã®ãªããåºæã®ãã¹ã¯ã¼ããè¨å®ãããã¨ãæ±ãããã¾ãã ããã¾ã§ã¯ããã¹ã¯ã¼ãã®å®æçãªå¤æ´ãæ¨å¥¨ããã¦ãã¾ãããã2017å¹´ã«ãç±³å½å½ç«æ¨æºæè¡ç 究æï¼NISTï¼ããã¬ã¤ãã©ã¤ã³ã¨ãã¦ããµã¼ãã¹ãæä¾ããå´ããã¹ã¯ã¼ãã®å®æçãªå¤æ´ãè¦æ±ãã¹ãã§ã¯ãªãæ¨ã示ãããã¨ããã§ãï¼â»ï¼ï¼ãã¾ããæ¥æ¬ã«ããã¦ããå é£ãµã¤ãã¼ã»ãã¥ãªãã£ã»ã³ã¿ã¼ï¼NISCï¼ããããã¹ã¯ã¼ããå®æå¤æ´ããå¿ è¦ã¯ãªããæµåºæã«éããã«å¤æ´ããæ¨ã示ããã¦ãã¾ãï¼â»ï¼ï¼ã これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(nist)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。 NISTは、アメリカ政府(商務省)傘下にある国営の研究所です。本ガイドラインは「現在の技術的動向を踏まえたうえで、アメリカ政府はこのような電子認証を取り入れるべき」というアメリカ政府向けの報告・提言という位置づけになります。この報告書を受けて、アメリカ政府はあらゆる電子認証に関するシステムを徐々に更新することで、不正アクセスや攻撃などの脅威から政府のデータを守ります。繰り返しになりますが、本ガイドラインは「アメリカの政府機関が、アメリカ政府各省庁・各機関に … tls暗号設定ガイドライン第3.0版(ipa) ウェブサイト開設等における運営形態の選定方法に関する手引き(IPA) 制御システムのセキュリティリスク分析ガイド~セキュリティ対策におけるリスク分析実施のススメ~(IPA)
All rights reserved.弊社が提供するIDaaS「トラスト・ログイン」は、本ガイドラインに沿って電子認証の強度を高めようとする全ての企業が利用できる製品となっています(なおトラスト・ログイン自体も、本ガイドラインに準拠すべく現在改修を進めております)。トラスト・ログインは、他のIDaaS製品と異なり、ユーザー数、アプリ数無制限に制限なしで無料で利用することが可能です。ぜひご評価いただければと存じます。パスワードであれば、例えば「ZhY63#mX」(8文字)というような少ない文字数でしたが、これがパスフレーズになると単語ではなく、単語の組み合わせによるフレーズ・文章を使うため長文化します。長文化すると、セキュリティ上は強固になりますが、文字数が多すぎるため、無意味なフレーズをパスフレーズにすると記憶できなくなります。よって、ある程度意味のある文章をパスフレーズとすることが一般的です。不正アクセスを防ぐためには、AAL3のような強度の高い電子認証を適用するほうが望ましいです。しかし、強度の高い電子認証を適用することは、システム・サービスの利用者の利便性が著しく低下するため、全てにおいてAAL3を適用することは望ましくありません。新しくアカウントを作成する際に、「母親の旧姓」「好きなフルーツ」「最初に飼ったペットの名前」など、本人しか分からない秘密の質問を設定したことがある方は多いかと思います。秘密の質問は普段は利用しませんが、パスワードを忘れてしまった場合に、秘密の質問に回答することでアクセスが許可されるという、ある意味保険的な用途で利用されていました。さらに、AAL1, AAL2, AAL3という分類がある通り、重要な情報へのアクセスであればパスワードだけでなく、より高い強度の認証方法を用いることが推奨されています。パスワードのみでアクセスできる情報は、重要度が低いもののみで、重要度が高い情報へのアクセスはパスワードと他の要素を用いるようになっていくという流れです。こうした変化により、認証のシステム変更が必要となる組織も多いと考えられます。多くの組織では「大文字、小文字、数字、記号の組み合わせで8文字以上」といった設定を推奨していますが、本ガイドラインでは「全て数字で8文字でもOK」というように、一見セキュリティが弱くなったように見受けられますが、そうではありません。パスワード設定時に脆弱なパスワードが設定されないように、利用者が考えて工夫するのではなく、認証側(システム管理者など)で脆弱なパスワードをはじく仕組みを導入することを推奨しています。以下がその例です。冒頭で解説した通り、本ガイドラインはNISTがアメリカ政府に対して「電子認証はこのようにすべき」と提唱しているドキュメントであり、日本政府ならび日本企業に何ら強制力があるものではありません。しかしながら、これまでの流れを見る限り、本ガイドラインが世界の電子認証におけるスタンダードになることは明確です。ちなみに、実際の導入において重要な点は、守るべき情報の重要性、深刻度によって、電子認証の強度を分けるべきということです。電子認証の強度が高ければ高いほど良い、というわけではありません。強度が高いということは、認証に時間がかかったり、デバイスを持ち歩く必要が生じたりするため、手間がかかります。電子認証においては、常に「セキュリティの重要度」と「手間」の両面を考える必要があります。IDaaSを利用すると、一般従業員がアクセスする社内・社外システムについて、システム管理者がパスワードを設定して利用させることができるため、一般従業員はパスワード入力が不要になります。つまり、IDaaSを利用すれば、一般従業員に各クラウドサービスのパスワードを知らなくても、サービスを利用できるようになります。覚えておくのはIDaaSのパスワード1つのみです。次に、これらを利用した認証について、その強度の応じて3段階に分けられています。AAL (Authenticator Assurance Level)という強度で、AAL1、AAL2、AAL3となり、数字が大きい方が強度が高いことを意味しています。これにより、かつては現実的ではなかった運用、例えば「管理者が作成した複雑なパスワード利用の義務化」「長文のパスフレーズ利用の義務化」を行えるようになり、パスワードの強度を高めることが可能です。また、パスワード忘れの問合せ工数を減らすことも可能となります。このように、本ガイドラインは「アメリカ政府」に留まらず、事実上世界の電子認証に関する標準ガイドラインとして機能することになるのです。よって、どのように自社が管理するシステム・サービスに対して変更・修正を行っていくかの計画が重要となります。以下でご説明します。自社ガイドラインを策定することで、自社の各システム・サービスにおいて「どの強度の電子認証が必要か」が明確になります。次のアクションは、各システム・サービスで求められる強度を満たすために、何が足りないかを明確にすることです。よって、工数や予算、影響度合いなど複数の点を考慮した上で、いつ、どの順番で、どのような変更内容を盛り込んでいくかの計画を策定する必要があります。本ガイドラインは、法的な強制力はありません。法的強制力がないものは、どうしても後回しにされがちなので、網羅的な計画を持って取り組まないと、取りこぼしが出る可能性があります。(例)my father was a firefighter he worked very hard (47文字)本ガイドラインで特徴的であることの一つとして、さきほどのAuthenticatorでいうところの「記憶シークレット」、つまりパスワードやPINに関して大きな変更がされていることです。以前のガイダンスからの変更点、ならび変更はされていないものの重要となる点について、まずはパスワード自体の設定からご説明させて頂きます。以下の通りです。パスワード強度メーターについては、既に幅広いサービスで利用されていますが、今後もさらに普及が進むと考えられます。よって、自社で運用しているシステム・サービスについて、「どのような情報にアクセスできるか」「どのような情報を操作できるか」「誰が閲覧するのか」「社内向けか社外向けか」「無償のサービスか、有償のサービスか」といった点を判断したうえで、「どのようなシステム・サービスの場合、どの強度の電子認証を義務づけるか」を、自社のセキュリティガイドライン上で明確にすることを推奨します。本ガイドラインが世界の電子認証にどのような影響を及ぼすのか、特にパスワードと関連が多い部分に特化して解説します。上記では、システム・サービスの運用管理者として、変更にどのように対応するかについて記載しましたが、同時に自社の従業員が電子認証の強度に応じて、負担が少なくシステム・サービスに認証できる環境を作ることも重要となります。それぞれのシステム・サービスは相対的に重要度が異なり、また本ガイドラインに対応した変更を導入する際の工数、またエンドユーザーへの影響度合いも異なるはずです。このため、全てのシステム・サービスを同時に変更することは事実上不可能ですし、リソースを考慮するとやるべきではありません。システム・サービスを構築するために、都度、電子認証の強度について頭を悩ませるのではなく、どのような場面でも適用できる客観的な基準を設けることで、検討工数を削減できます。この中には、AAL1, AAL2, AAL3といった強度に加えて、「パスワード強度メーターの設置」「秘密の質問の廃止」といった項目についても合わせて分析します。これは「私の父は消防士でした彼は一生懸命働きました」という意味の英文ですが、これをパスフレーズとするとき、スペースを入れられるようにした方が入力しやすくなります。このため、スペースをパスワードの1文字として使えるようにすべきと提唱されています。はじめに、Authenticator (認証するもの・デバイス)について以下の通りまとめられています。