狠狠撸

狠狠撸Share a Scribd company logo

情报システム部门のパスワード期限管理について

?
?
kazuki masuda
kazuki masuda

 多くの企業の情報セキュリティルールでは、パスワードに期限を設定しています。定期的、例えば半年に一度はパスワード変更するルールになっており、それをシステムから強制されるような仕組みにしてる会社も多いと思います。  ところが、パスワードの定期変更が、情報セキュリティのレベルを上げるどころか、下げてしまっていると言う政府機関の見解があり、議論になっています。もともとそうだったのではなく、研究の成果として変わってきたと捉えた方が良いでしょう。  つまり、そのようなルールもシステム的な仕組みも、場合によっては廃止した方が望ましいということです。  現時点の関係する諸機関の見解を踏まえ、情報システム部門としての取り組みを考えていきたいと思います。

1 of 10
Download to read offline
Elementum Consulting 情報システム部門の パスワード期限管理について 2018年9月4日 エレメンタムコンサルティングLLC チーフコンサルタント 増田和紀 Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved.
Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. 結論から 多くの企業の情報セキュリティルールでは、パスワードに 期限を設定しています。定期的、例えば半年に一度はパス ワード変更するルールになっており、それをシステムから強 制されるような仕組みにしてる会社も多いと思います。 ところが、パスワードの定期変更が、情報セキュリティの レベルを上げるどころか、下げてしまっていると言う政府機 関の見解があり、議論になっています。もともとそうだった のではなく、研究の成果として変わってきたと捉えた方が良 いでしょう。 つまり、そのようなルールもシステム的な仕組みも、場合 によっては廃止した方が望ましいということです。 現時点の関係する諸機関の見解を踏まえ、情報システム部 門としての取り組みを考えていきたいと思います。
Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. Single Sign On とパスワード期限 SSO Cloud Service Cloud Service Intranet 一般に企業内で、様々な社内アプリケーションや、クラウドサービスを利用する場合 では、社員のIDとパスワードは一元的に管理され、いったんサインオンしてアプリケー ションのメニューから、各アプリケーションを呼び出すようになっています。サービス 毎にパスワードを管理しなくても済みますが、情報セキュリティ対策から、定期的にパ スワードを強制的に変更させる仕組みを持たせている場合がほとんどでしょう。 Password
Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. 総務省の見解 まず、総務省の見解を見てみましょう。 国民のための情報セキュリティサイト パスワードを複数のサービスで使い回さない(定期的な変更は不要) また、パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービス から流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られて います。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利 用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情 報にアクセスされてしまう可能性があります。 なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもあり ますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がな ければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの 作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となりま す。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定する ことが求められます。 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. 内閣サイバーセキュリティセンター NISCの見解 次にNISCの見解を見てみましょう。 7 パスワードの定期変更は必要なし。流出時は速やかに変更する 利用するサービスによっては、パスワードを定期的に変更することを求 められることがあります。しかし、実際にパスワードを破られアカウン トを乗っ取られたり、サービス側から流出したりした事実がないのなら ば、パスワードを変更する必要はありません。 むしろ定期的な変更を要求することで、パスワードの作り方がワンパ ターン化し簡単なものになることや、使い回しするようになることの方 が問題となります。定期的に変更をするよりも、機器やサービスの間で 使い回しのない、固有のパスワードを設定しましょう。パスワードを破 られウェブサービスなどが不正利用されたら、速やかにパスワードを変 更し、その原因も特定しましょう。 マルウェアなどでパソコン側から情報が流出し続けている場合、原因を 特定しないまま放置しているなら、パスワードを変更しても意味があり ません。 https://www.nisc.go.jp/security-site/files/handbook-all.pdf
Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. アメリカ国立標準技術研究所(NIST)の見解 NISTとは、米国の技術や産業、工業などに関する規格標準化を行っている 政府機関です。2017年7月に以下の記載になりました。総務省も内閣サイバー セキュリティセンター もこれに準拠しています。今まで見てきたものは、全 てパスワードの定期的な変更が必要とは言っていません。 Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).検証者は、記憶された秘密を恣意的に(例えば、定期的に)変更することを要求すべ きではない。 However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.しかし、認証を受けたものが危険な状態になった証拠があるならば、検証者は 変更を強制しなければならない。 https://pages.nist.gov/800-63-3/sp800-63b.html
Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. ISMS ISO/IEC 27002の記載 大変困ったことに、国際標準であるISMSにおいて、パスワード管理システムは、 定期的に変更させることが望ましいとしています。どちらかというと、まだこち らの方が有力に思えます。但し、これが定められたのは、2013年です。 9.4.3 パスワード管理システム 管理策 パスワード管理システムは,対話式とすることが望ましく,また,良質なパスワードを確実とするもの が望ましい。 実施の手引 パスワードの管理システムは,次の条件を満たすことが望ましい。 a) 責任追跡性を維持するために,それぞれの利用者 ID 及びパスワードを使用させるようにする。 b) 利用者に自分のパスワードの選択及び変更を許可し,また,入力誤りを考慮した確認手順を組み入れ る。 c) 質の良いパスワードを選択させるようにする。 d) パスワードは,最初のログオン時に利用者に変更させるようにする。 e) パスワードは,定期的に及び必要に応じて変更させるようにする。
Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. IPAの見解 私は、各社でルールを作成する際、IPAの指針もフレームワークとして使用します。さらに 困ったことに、IPAの見解も、少なくとも2018年9月の時点では、パスワードの定期的な変 更を促しています。 https://www.ipa.go.jp/security/antivirus/documents/04_fusei.pdf
Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. さてどうすべきか 社員の方々は、日常生活の上で、今ではたくさんのパスワードを使わなければなりま せん。とてもすべて覚えておくことは出来ません。あなたもメモをしてはいけないと思って いても、パスワード一覧を作っていませんか。会社だけは、違うパスワードにするよう配 慮しているかもしれません。 もちろん、各社の状況は異なるでしょう。一概にルールをこうすべきとは言えません。 しかし、新たな考え方では、パスワードの期限を設け、定期的に変更することは既に 推奨されてはいません。 システム的には、単純なパスワードは防げるという前提において、考えてみましょう。 使いまわしてしまうことがより危険であるという認識に立って、ルールと仕組みを考え直 す時期にあるのではないでしょうか。 Pw:xYz_3618
Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. エレメンタムコンサルティングLLC チーフコンサルタント 増田 和紀 〒332-0844 埼玉県川口市上青木2-20-5 090-8346-4062 masuda.kazuki@elementum.jp www.elementum.jp Elementum Consulting

More Related Content

情报システム部门のパスワード期限管理について

  • 2. Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. 結論から 多くの企業の情報セキュリティルールでは、パスワードに 期限を設定しています。定期的、例えば半年に一度はパス ワード変更するルールになっており、それをシステムから強 制されるような仕組みにしてる会社も多いと思います。 ところが、パスワードの定期変更が、情報セキュリティの レベルを上げるどころか、下げてしまっていると言う政府機 関の見解があり、議論になっています。もともとそうだった のではなく、研究の成果として変わってきたと捉えた方が良 いでしょう。 つまり、そのようなルールもシステム的な仕組みも、場合 によっては廃止した方が望ましいということです。 現時点の関係する諸機関の見解を踏まえ、情報システム部 門としての取り組みを考えていきたいと思います。
  • 3. Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. Single Sign On とパスワード期限 SSO Cloud Service Cloud Service Intranet 一般に企業内で、様々な社内アプリケーションや、クラウドサービスを利用する場合 では、社員のIDとパスワードは一元的に管理され、いったんサインオンしてアプリケー ションのメニューから、各アプリケーションを呼び出すようになっています。サービス 毎にパスワードを管理しなくても済みますが、情報セキュリティ対策から、定期的にパ スワードを強制的に変更させる仕組みを持たせている場合がほとんどでしょう。 Password
  • 4. Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. 総務省の見解 まず、総務省の見解を見てみましょう。 国民のための情報セキュリティサイト パスワードを複数のサービスで使い回さない(定期的な変更は不要) また、パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービス から流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られて います。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利 用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情 報にアクセスされてしまう可能性があります。 なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもあり ますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がな ければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの 作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となりま す。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定する ことが求められます。 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
  • 5. Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. 内閣サイバーセキュリティセンター NISCの見解 次にNISCの見解を見てみましょう。 7 パスワードの定期変更は必要なし。流出時は速やかに変更する 利用するサービスによっては、パスワードを定期的に変更することを求 められることがあります。しかし、実際にパスワードを破られアカウン トを乗っ取られたり、サービス側から流出したりした事実がないのなら ば、パスワードを変更する必要はありません。 むしろ定期的な変更を要求することで、パスワードの作り方がワンパ ターン化し簡単なものになることや、使い回しするようになることの方 が問題となります。定期的に変更をするよりも、機器やサービスの間で 使い回しのない、固有のパスワードを設定しましょう。パスワードを破 られウェブサービスなどが不正利用されたら、速やかにパスワードを変 更し、その原因も特定しましょう。 マルウェアなどでパソコン側から情報が流出し続けている場合、原因を 特定しないまま放置しているなら、パスワードを変更しても意味があり ません。 https://www.nisc.go.jp/security-site/files/handbook-all.pdf
  • 6. Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. アメリカ国立標準技術研究所(NIST)の見解 NISTとは、米国の技術や産業、工業などに関する規格標準化を行っている 政府機関です。2017年7月に以下の記載になりました。総務省も内閣サイバー セキュリティセンター もこれに準拠しています。今まで見てきたものは、全 てパスワードの定期的な変更が必要とは言っていません。 Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).検証者は、記憶された秘密を恣意的に(例えば、定期的に)変更することを要求すべ きではない。 However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.しかし、認証を受けたものが危険な状態になった証拠があるならば、検証者は 変更を強制しなければならない。 https://pages.nist.gov/800-63-3/sp800-63b.html
  • 7. Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. ISMS ISO/IEC 27002の記載 大変困ったことに、国際標準であるISMSにおいて、パスワード管理システムは、 定期的に変更させることが望ましいとしています。どちらかというと、まだこち らの方が有力に思えます。但し、これが定められたのは、2013年です。 9.4.3 パスワード管理システム 管理策 パスワード管理システムは,対話式とすることが望ましく,また,良質なパスワードを確実とするもの が望ましい。 実施の手引 パスワードの管理システムは,次の条件を満たすことが望ましい。 a) 責任追跡性を維持するために,それぞれの利用者 ID 及びパスワードを使用させるようにする。 b) 利用者に自分のパスワードの選択及び変更を許可し,また,入力誤りを考慮した確認手順を組み入れ る。 c) 質の良いパスワードを選択させるようにする。 d) パスワードは,最初のログオン時に利用者に変更させるようにする。 e) パスワードは,定期的に及び必要に応じて変更させるようにする。
  • 8. Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. IPAの見解 私は、各社でルールを作成する際、IPAの指針もフレームワークとして使用します。さらに 困ったことに、IPAの見解も、少なくとも2018年9月の時点では、パスワードの定期的な変 更を促しています。 https://www.ipa.go.jp/security/antivirus/documents/04_fusei.pdf
  • 9. Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. さてどうすべきか 社員の方々は、日常生活の上で、今ではたくさんのパスワードを使わなければなりま せん。とてもすべて覚えておくことは出来ません。あなたもメモをしてはいけないと思って いても、パスワード一覧を作っていませんか。会社だけは、違うパスワードにするよう配 慮しているかもしれません。 もちろん、各社の状況は異なるでしょう。一概にルールをこうすべきとは言えません。 しかし、新たな考え方では、パスワードの期限を設け、定期的に変更することは既に 推奨されてはいません。 システム的には、単純なパスワードは防げるという前提において、考えてみましょう。 使いまわしてしまうことがより危険であるという認識に立って、ルールと仕組みを考え直 す時期にあるのではないでしょうか。 Pw:xYz_3618
  • 10. Copyright ? 2018 Elemetum Consulting LLC. All Rights Reserved. エレメンタムコンサルティングLLC チーフコンサルタント 増田 和紀 〒332-0844 埼玉県川口市上青木2-20-5 090-8346-4062 masuda.kazuki@elementum.jp www.elementum.jp Elementum Consulting