認証するということ(1)パスワード編

認証するということ(1)パスワード編

パスワードの管理というのは難しいものです。

簡単なものではいけない、他のサイトと同じパスワードではいけないと思いつつ、結局数字を変えているだけだったり、長すぎて分からなくなってしまったり、というのは誰しも経験があることだと思います。

では、FISC安全対策基準では、パスワード管理はどのように規定されているのでしょうか。

 

FISC安全対策基準のわかりにくいところなのですが、パスワードの管理についてはあちこちに書かれています。実務基準の中でも、

データ保護に関する基準:利用者向け
本人確認機能に関する基準:利用者向け・システム部向け
アクセス権限の管理に関する基準:システム部向け
インターネットサービスに関する基準:利用者向け(に案内する内容)

と、混在しています。特に、利用者に向けて注意喚起すべき内容なのか、それともオペレータに向けて注意喚起すべき内容なのか、読み解かなければ分からなくなります

(例示も記載箇所によって異なるので、基準に粒度があるように見えてしまいます)。

 

 

現在、おそらく世界標準となりつつあるNIST(アメリカ国立標準技術研究所)のデジタル・アイデンティティ・ガイドライン(Digital Identity Guidelines)には、どのように書いてあるのか、そしてそれがFISC安全対策基準に記載してあるのか、確認してみましょう。

NISTガイドラインの内容に列に含まれる最後の数字(例:5.1.1.1)は、NISTのデジタル・アイデンティティ・ガイドラインに記載されている番号です。また、抄訳や箇条書きの編集は筆者が担当していますが、誤訳の可能性もありますので、必ず原文を参照ください。

なお、このガイドラインには、ワンタイムパスワードや乱数表に関する記載もありますが、さらに長くなるので後日、取り上げることにします。


Digital Identity Guidelines –Authentication and Lifecycle Management–(NIST):

https://pages.nist.gov/800-63-3/sp800-63b.htm

NISTガイドラインの内容 判定 FISC安全対策基準の記載
ユーザが登録するパスワードは最低8文字であること。(5.1.1.1) 「少ない桁数の登録は認めない」という記載のみ。具体的な桁数は明示されていない。
サービス提供者がランダムに選択する場合は6文字以上であること。この場合、すべて数字であってもよい。(5.1.1.1) × 記載なし
登録できないパスワードが入力された場合は、登録できない理由を表示すること。(5.1.1.1) 「利用者に注意喚起する」という記載はあるが、登録を不可とする記載はなし
変更するときも同様である。(5.1.1.2) 「利用者に注意喚起する」という記載はあるが、登録を不可とする記載はなし
登録できないパスワードの例は以下のとおりである。(5.1.1.2)
過去に漏洩したパスワード 推測されやすいパスワードの例として記載あり
辞書に載っている単語 記載あり
繰り返しまたは連続した文字(例:aaaaaや1234abc等) 記載あり
サービス名、ユーザ名、そこから派生した用語のような、内容に関連した用語 × 記載なし(ただし、暗証番号については生年月日を認めない仕組みが望ましいと記載されている)
利用できる文字種等の制限は設けないこと。(5.1.1.1、5.1.1.2) × 記載なし
ただし、すべてのアスキー文字およびスペース文字が入力できること。(5.1.1.2) × 記載なし
Unicodeの利用も可能とするが、その場合でも1文字として数えること。(5.1.1.2) × 記載なし
結果として長さに問題がない場合は、連続するスペース文字をひとつにまとめても良い。(5.1.1.2) × 記載なし
パスワードは64文字まで入力できること。(5.1.1.2) × 記載なし
パスワードのヒントは認証されるまで表示されないこと。(5.1.1.2) × 記載なし
パスワードの強度計を設置すること(5.1.1.2) 記載あり
入力誤りの回数に応じて、利用が制限されること。(5.1.1.2) 記載あり
パスワードは定期的な変更を求めないこと。(5.1.1.2) × 暗証番号もパスワードも定期変更を求める旨の記載あり。
ただし、危殆化した場合には事業者が利用者に対してパスワードの強制変更を求めること。(5.1.1.2) × 記載なし
パスワードの入力エリアに対して「ペースト」できる機能を提供すること。(5.1.1.2) × 記載なし
パスワードを一時的に表示できる機能を提供すること。(5.1.1.2) × 記載なし
パスワードを送信するときには、暗号化したチャネルによって送信されること。(5.1.1.2) SSLを使用することの記載あり。

 

 

FISC安全対策基準では、NISTのガイドラインに比較して、パスワード管理に対する記載が甘いように見えます。FISC安全対策基準に記載されている参考文献の一覧からは、NISTが2017年6月に出したこのガイドラインはもちろん、翻訳版についても含まれていないので、おそらくこのドキュメントを確認していないように見えます。ちなみに翻訳版は2018年1月に出しています。

ネットワークビギナーのための情報セキュリティハンドブックVer.3.00(平成30年1月17日):https://www.nisc.go.jp/security-site/handbook/index.html

ただし、FISCだけの確認不足とも言い切れないところもあります。IPAでも、定期変更を求める記載を行っていた時期がありました。定期変更を求める記載は、こちらが発端になってた可能性もあります。今も、Googleで「パスワード定期変更」を検索すると、IPAのサイトが表示されます。

IPA「不正アクセス対策のしおり」(2012年6月8日 第6版):https://www.ipa.go.jp/files/000011455.pdf

 

おそらく、FISCでは原文はさておき、日本語の公式なお知らせが出るタイミングでは、改訂が間に合わなかった、というのが事実でしょう。

第8版追補改訂では、利用者にパスワードの定期変更を求めることは「例示」として記載されていました。つまり、実施するかどうかは任されていたわけです。しかし、システムにおけるパスワード管理については、FISC安全対策基準には以下のような基準があります。

社内で使用するパスワード等については、〜(中略)〜パスワードが変更されないまま一定期間が経過した場合、当該IDを使用不可とする措置を講ずることが望ましい。なお、個人データを扱うシステムにおいては、この措置は必要である。

つまり、個人データを扱うシステムでは、パスワードの定期変更が必須である、と言うことです。第8版追補改訂での記載を確認する必要はありますが、NISTのガイドラインで「するべきではない」とされていることを、必須項目として求めていることになります。一定期間利用されていないIDであれば、アカウント停止の条件として違和感はないのですが、一定期間パスワードが変更されていないことを条件としているため、上記のガイドラインとは結果として矛盾してしまっています。

おそらく、次回以降の改訂で、NISTのドキュメントも参考文献として含まれた上で、アカウントに対する考え方も改訂されるのだろうと思います。

 

パスワードを定期変更するメリットとデメリットを、数学的に考えてみます。誰かのパスワードを一発で当てる確率は、入力できる文字種の文字列乗の逆数ということになります。例えば、数字4桁なら、一致する確率は1万分の1ということになります。この確率は、定期的にランダムな数字に変更しても、上がることも下がることもありません(一発で当てる確率は、常に1万分の1です)。確率的には定期変更には意味がないということになります。この時点では、パスワードの定期変更にメリットはありません。

ただし、パスワードがランダムではなく、ある程度推測できるようなもの(例えば誕生日4桁)だったと仮定します。こうなると、その人の情報があれば、当てられる確率はぐっと上がります。単純に4桁ではなく、並び順を変更したり、逆から並べることで、一発で当てることは難しくても、数回で当てることができてしまいます。つまり、定期変更を求めることで、(都度ランダムにするのが面倒なので)簡単に推測できてしまうパスワードを使用してしまうため、その定期変更が結果としてパスワードを解読される、という懸念をNISTも指摘しています。これが、パスワードの定期変更によるデメリットです。

パスワードが危殆化(きたいか)した場合、つまり、他人が容易に推測できるところとなった場合には、その被害が補償されない場合がある、ということを全銀協では公開しています。少々古い事例ですが、今後は、この「補償されない事例」が拡充していくことも十分に予想されます。これは金融機関だけではなく、他の事業者においても同様に対応されるものと想定されます。

インターネット・バンキングにおける預金等の不正な払戻しについて(全銀協):https://www.zenginkyo.or.jp/topic/detail/nid/6389/

 

忘れてはいけないのは、「誰にも推測できない、強いパスワードであること」です。パスワード管理ソフトが生成するような、まったくのランダムなパスワードであれば、定期変更の必要はなく、補償も受けられる、ということになります。NISTのガイドラインでは、パスワードマネージャ、というキーワードは1カ所しか出てきていませんが、利用者に対しても、またオペレータに対しても、パスワードマネージャを利用する方向になると良いと思っています。

なお、NISTのガイドラインでは、「参照用と重要取引用でパスワードを使い分ける」といった使い分けについては、別の記事で取り上げることにします。ただし、この点については、FISC安全対策基準では、利用者向けの基準として明確に記載していますが、オペレータ向けにはそこまでの記載はありませんでした。

おそらく、パスワードに関する記載を見る限り、最新かつ事実上の世界標準でもあるのでNISTのガイドラインに準拠している方が確実だろうと推測します。その上で、FISC安全対策基準に記載された内容の充足性(じゅうそくせい)を確認した方が良いでしょう。実際、すでにNISTのガイドラインに基づいてサイトを提供している金融機関もあります。重要な取引(または重要な操作)を行う場合に、ワンタイムパスワードや乱数表を使い本人確認しても良いでしょう。

国境のない仮想通貨の取扱においても、世界標準であるNISTのガイドラインに準拠することは必須と思われます。システム構築上の参考にしてください。