• はじめに
• 管理策の概要
  • 認証情報の管理プロセス（手順）を明らかにする理由
• 具体的な実施例
  • 1. 脆弱な管理（保護）状態を引き起こさないための管理策
  • 2. 脆弱な資格情報の利用を避けるための管理策
  • 3. 認証情報を奪取しようとする脅威から保護するための管理策
• まとめ
• 参考資料
• 脚注

はじめに

　情報セキュリティのための管理策の中で組織的対策として分類されている「認証情報」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。

管理策の概要

　先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.17 Authentication information から引用

Purpose：
To ensure proper entity authentication and prevent failures of authentication processes.
管理目的：
適切なエンティティ認証を確実にし、認証プロセスの失敗を防ぐため。

Control：
Allocation and management of authentication information should be controlled by a management process, including advising personnel on the appropriate handling of authentication information.
管理策：
認証情報の割り当てと管理は、認証情報の適切な取り扱いについて要員に助言することを含め、管理プロセスによって制御することが望ましい。
※）英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

　管理目的は、以下のように解釈できます。

• エンティティ認証を確実にし　⇒　なりすまし防止（主に機密性の確保）
• 認証プロセスの失敗を防ぐ　⇒　可用性の確保

　上記解釈に管理策部分も含めると「情報セキュリティの各要素が損なわれないように、認証情報の管理プロセス（手順）を明らかにすること」が求められていると理解でき、例えば、アクセス制御方針のような個別方針において「認証情報」の管理ルールや手順を定め、組織の要員を含む関係者に周知することが具体策として考えられます。
　ISO27002では本管理策は、組織的対策として分類されているためこのような位置付けになっています。「認証情報」に関する技術的対策については、別途、”「資格情報」に関連する攻撃手法と管理策について”などで紹介する予定です。

認証情報の管理プロセス（手順）を明らかにする理由

　認証情報に関連するリスクは、外部脅威からの攻撃（資格情報の奪取によるなりすまし行為、認証情報の改ざんによる妨害行為など）の他に、以下のケースのように管理（保護）の不備や考慮不足のような組織内部の脆弱性に起因するものが考えられます。

• パスワードの入力誤り

　通常、入力されたパスワードは覗き見を防止するためにドットやアスタリスクとして画面上に表示されることが多いため、利用者がパスワードを登録する際、自らが入力した内容を確認できないことによる入力誤りが発生し、その結果、利用者がパスワードを誤って記憶している可能性があります。

• 利用者以外への認証情報の送信

　初期の認証情報を送信する際、本人確認を疎かにすると本来その認証情報を保有すべき本人以外の手に渡ってしまう恐れがあります。

• 生体認証の品質問題

　生体認証では、他人受入率（FAR：False Accept Rate）と呼ばれる、誤って他人を受け入れる可能性と本人拒否率（FRR：False Reject Rate）と呼ばれる、誤って本人を拒否する可能性をゼロにすることはできません。FARが高いと機密性が、FRRが高いと可用性がそれぞれ損なわれるため、認証要件で求められる機密性、可用性に応じた妥当な閾値が設定されない恐れがあります。

　上記のような脆弱性に対応するための適切かつ確実な管理策の実施を目的として認証情報の管理プロセス（手順）を明らかにする必要があります。

具体的な実施例

　以下のような認証情報に関連する脅威や脆弱性に対応するための管理策を個別方針で定め、技術的対策の指針としそれを強制したり、要員へ周知し義務とすることで確実に実装します。

1. 脆弱な管理（保護）状態
2. 脆弱な資格情報の利用 　
3. 資格情報を奪取しようとする脅威

1. 脆弱な管理（保護）状態を引き起こさないための管理策

　脆弱な管理状態を引き起こさないために以下の管理策を個別方針により定めます。

• 認証情報の新規、更新時の発行前に実施すべき利用者の本人確認（アイデンティティの検証）の手順を確立する
• 認証情報は認可されていないアクセスから保護する
• 認証情報を保護するための管理策は、ツールの利用などの技術的対策と利用者の管理義務の明確化などの人的対策により実装する
• 攻撃者に資格情報をダンプさせないため、ローカルPCへの資格情報のキャッシュを禁止する
• 利用者の負担軽減につながるID連携やシングルサインオン機能の提供を検討する

2. 脆弱な資格情報の利用を避けるための管理策

　脆弱な認証情報の利用を避けるために以下の管理策を個別方針により定めます。

• 認証情報が、その利用環境のリスクに応じた要求事項を満たす強度を備えることを確実にする
• 紛失、危殆化、破損した認証情報の管理手順、失効管理手順を明らかにする
• どのような内容の事象が発生したら認証情報の変更または更新を求めるのかを明らかにする
• 登録時に自動的に生成される初期の認証情報の取り扱いを定め（例えば、一時的な仮パスワードは、アカウント毎に一意とし推測されないものとし、初回使用時に利用者により変更することを）確実に行う
• ハードウェア機器または、システム、ソフトウェアに初期で割り当てられている認証情報（初期設定を外部に委託し設定されたものを含む）は、初回使用時に変更する
• 生体認証を採用する場合、その認証情報の用途に求められる要求事項を考慮し品質要件を定める

3. 認証情報を奪取しようとする脅威から保護するための管理策

　認証情報を奪取しようとする脅威から保護するための管理策を個別方針により定めます。
　本管理策については、別途、”「資格情報」に関連する攻撃手法と管理策について”などで紹介する予定です。

まとめ

　今回は、認証情報に関する組織的対策についてまとめました。
　認証情報はアクセス制御を行うための重要な要素であるため、別途、脅威と関連する管理策についてまとめてみたいと思っています。

参考資料

• ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

• NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations IA-5

脚注