セキュリティ管理のメモ帳

セキュリティに関する備忘録

「ID管理」について

ISO27002管理策の考察

はじめに

 情報セキュリティのための管理策の中で組織的対策として分類されている「ID管理」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。

「ID管理」とは?

 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.16 Identity management から引用

Purpose:
To allow for the unique identification of individuals and systems accessing the organization’s information and other associated assets and to enable appropriate assignment of access rights.
管理目的:
組織の情報およびその他の関連資産にアクセスする個人およびシステムの一意の識別を可能にし、アクセス権の適切な割り当てを可能にするため。

Control:
The full life cycle of identities should be managed.
管理策:
IDはライフサイクル全体にわたり管理することが望ましい。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

 管理目的と管理策をまとめると、以下のように解釈できます。
 組織の情報およびその他の関連資産に対する適切なアクセス制御*1を行うため、IDはライフサイクル全体にわたり管理する。

 一般的な定義(アイデンティティ管理 - Wikipedia)でも、”Identity management(ID管理)”はIDのライフサイクル管理とされているため上記解釈と整合します。

ID(Identity)とは?

 具体的な管理策の内容を考察する前に、ID(Identity)の定義を確認しておきたいと思います。
 ID管理のフレームワークのコンセプトを示すISO/IEC 24760-1:2019*2 には、以下のように記載されています。

ISO/IEC 24760-1:2019 から引用

3.1.2 identity
set of attributes(3.1.3) related to an entity(3.1.1)
Note 1 to entry: An entity can have more than one identity.
Note 2 to entry: Several entities can have the same identity.
Note 3 to entry: ITU-T X1252[13] specifies the distinguishing use of an identity. In this document, the term identifier implies this aspect.

3.1.2 アイデンティティ(ID)
エンティティ(3.1.1)に関連する属性(3.1.3)の集まり
注記1:エンティティは複数のIDを持つことができる。
注記2:複数のエンティティが同じIDを持つことができる。
注記3:ITU-T X1252 [13]は、IDの識別使用を指定する。 この文献では、識別子という用語はこの側面を意味する。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

identity(ID)とidentifier(識別子)

 文献によっては、”identity” と ”identifier” の両方をIDと呼ぶこともありますが、本稿では以下の通りISO/IEC 24760-1:2019に従い明確に区別します。

 ID(identity):
  エンティティに関連する属性の集合

 識別子(identifier):
  ドメイン内でエンティティを一意に識別するために用いる情報
  ・既存属性から一つの情報を選び識別子とする
  ・既存属性から複数の情報を選び、その集合を識別子とする
  ・識別子用に属性を新たに作成する(例えば、ドメイン固有のアカウント名)

IDについてまとめ

 ここまでで明らかにできたことをまとめます。

 IDは、エンティティに関連する属性の集合であり、その属性の一部は、エンティティを一意に特定するための識別子として使用されます。
 また、IDに属性のどの情報を含めるかは、そのIDを使用するサービス/アプリケーション(が所属するドメイン)の事業目的(例えば、適切なサービスの提供)により決定されます。

図1 ドメインとIDと識別子

 なお、所属組織に用いられるIDの内容は、LDAP、AD等のDirectory serviceのユーザー属性(例えば、uid、UPN、sAMAccountName)をイメージすればわかりやすいと思います。
 IDに含める属性情報の選定時には、以下について考慮するとより適切なものになります。

  • 対象ドメインでエンティティを管理する上で必要な情報のみとし、必要最小限の原則に従い不要な属性情報は保有しないように個別方針などで明確にする
  • ID情報は、直接的(ABAC)または間接的(RBAC)にオブジェクトへのアクセス認可に使用される

IDライフサイクルについて

 ISO/IEC 24760-1:2019では、IDライフサイクルの各状態と状態遷移について以下のように表しています。

図2 IDライフサイクルの各状態と状態遷移

IDの状態について

 ISO/IEC 24760-1:2019では、IDライフサイクルの各状態(ステージ)が以下のように特定されています。

表1 IDライフサイクルの状態

IDの状態遷移について

 ISO/IEC 24760-1:2019では、IDライフサイクルの状態遷移が以下のように特定されています。(”イベントの例” の列は筆者が追加)

表2 IDライフサイクルの状態遷移

 ようやく本題にたどり着けましたが、本管理策では上記のようなIDの状態遷移が起こった場合でも、組織の情報およびその他の関連資産に対する適切なアクセス制御を維持することが求められています。  次項では、各状態遷移時に考慮すべき事項をなるべく具体的に例示したいと思います。

具体的な実施例

 IDの状態遷移が起こった場合でも、適切なアクセス制御が維持されるために考慮すべき事項の具体例を以下に示します。  

Enrolment(登録)時に考慮すべき事項の例:

・ID登録時の身元確認(検証)基準

 IDを登録する際の身元確認(検証)基準の妥当性を個別方針などにより明らかにする必要があります。(NIST SP800-63A では、Identity Assurance Level(IAL)が3段階で提示されており、組織内で新規登録を行う際の本人確認の厳密さの指標として参考にすることが可能です)

・主体の識別

 事後の責任追跡性*3、及び不正に対する抑止効果の期待*4の観点から、原則、IDは個人に割り当てます。*5
 NIST SP800-63Aでは、上記の例外として、プライバシーの観点から一意の関連付けが不要または望ましくない(Anonymity (匿名性) や Pseudonymity (仮名性) が求められる) ケースについて言及されています。

・公開識別子との共用禁止

 パスワードリスト攻撃などのパスワードクラックが成立しやすくなるため公開識別子の組織内利用は避ける必要があります。

・第三者が提供するIDの利用

 第三者が提供するID及びクレデンシャル(例えば、ソーシャルクレデンシャル)を使用する際は、適切なリスクアセスメントと管理策の実施を確実に行う必要があります。

Delete(削除)時に考慮すべき事項の例:

・IDの適時削除

 IDを保有していた要員が退職した時など、IDが不要*6になった場合は、速やかに Delete(削除)またはSuspension(一時停止)することが必要です。

ライフサイクル全体にわたり考慮すべき事項の例:

・記録の保管

 責任追跡性、インシデント検知、フォレンジックなどにおいて、IDの利用及び管理に関する事象の記録は重要な情報です。確実に記録し保護する必要があります。

まとめ

 今回はID管理について考察してみました。本文中にも記述しましたが、IDに含めるべき属性情報は、必要最小限の原則に従い不要なものを保有しないことを心掛け管理する必要があります。
 IDがライフサイクル全体にわたり状態遷移する場面では、特に退職などによりIDが不要になったときに速やかに削除などの対処が確実に実施されることが求められます。近年は、Directory service、IDaaS、SAMLなどによりドメイン内やドメイン間のIDを一元管理できる環境を利用でき、また、人事システムとの連携も可能なため管理不備発生の可能性は大分低減されていると思います。
 それでもID管理不備の可能性はゼロにすることはできません。そのような時には補完的な管理策として、定期的なレビュー(例えば不要なIDが存在しないことを確認すること)により、管理不備の状態が長期間にわたり放置される可能性を防ぐ効果があります。このように事象の発生確率と事象発生時の影響度によってはより入念に多層的な管理策の実装が求められます。

参考資料

 本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

  • ISO/IEC 24760-1:2019 IT Security and Privacy — A framework for identity management — Part 1: Terminology and concepts

  • ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

  • NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations AC-2, IA-2, IA-4. IA-8, IA-12

  • NIST SP 800-63A Digital Identity Guidelines — Enrollment and Identity Proofing Requirements —

脚注

*1:識別、アクセス権の割当はアクセス制御プロセスの一部です。

*2:IT Security and Privacy — A framework for identity management — Part 1: Terminology and concepts

*3:特定のIDを用いた行動に対する責任をその個人に負わせることを可能にする

*4:主体による行動がIDを介して把握できることを周知し、行動に対する責任への自覚を促す

*5:複数の者による共有IDの利用は、業務上又は運用上の理由で必要な場合(基準、前提条件を明確にする)にのみ許可し、専用の承認及び文書化を必要とし、また、リスクに応じ、IDの使用許可プロセス、行動の監視又は記録、及びその監査等の他の管理策により補完することを検討します

*6:他にも、「有効期限切れ」、「ルール違反」、「非アクティブな状態が一定期間続いた」などをID不要と判断することがあります。