公的機関や民間企業のIT化が進むと同時に、サイバー攻撃の脅威も高まり続けるなか、「情報セキュリティ」は大きなウェイトを占めるようになった。
本連載では、セキュリティ対策を考える自治体、教育機関、医療機関、民間企業すべてに参考となる情報の提供を目指し、様々な組織におけるセキュリティ対策が、どのような理念にのっとって行われてきたのか、そして実際のモデルケースを追っていく。

>「セキュリティ対策ヒストリー&モデル」記事一覧

>前回記事:各セキュリティガイドラインにおける「認証」システム構築のポイント(前編)【セキュリティ対策ヒストリー&モデル:第4回】

「教育」および「医療」業界におけるセキュリティガイドラインの紹介を行った前回に引き続き、5回目の今回は、「府省庁」、「中小企業」、「クレジットカード」業界における監督官庁や関連機関などが示すセキュリティガイドライン(もしくはそれに準ずるセキュリティ基準)における「認証」に関連する項目を読み解いていこう。

セキュリティ強度の更なる向上のための機能の1つに多要素認証を紹介
【府省庁対策基準策定のためのガイドライン】

府省庁対策基準策定のためのガイドライン」は、2014年5月に内閣官房情報セキュリティセンター(NISC)が策定した。

このガイドラインは、同じくNISCが定める国内の政府機関が準拠すべき指針「政府機関の情報セキュリティ対策のための統一基準」に準拠して、府省庁が対策基準を策定する際に参照するものとされている。
ちなみにこの統一基準については、2016年8月に改定され、クラウドの選定および利用の際のガイドラインやセキュリティ要件等の基準が追加されている。

府省庁対策基準策定のためのガイドラインにおいて「認証」について詳述しているのが第6部で、冒頭で「情報又は情報システムへのアクセス権のない者による情報の漏えいや滅失、情報システムの停止等の情報セキュリティインシデントを防止するために、主体認証機能の導入が求められる」としている。
ここにある「主体認証」とは、情報システムを利用する主体、つまり個人がアクセス権を持つ職員であることを確認することをいう。(言い換えると「個人認証」ともいう)

そしてガイドライン「6.1.1」の基礎対策項目の中で、情報システムセキュリティ責任者は、以下を例とする認証方式を決定すること、と明記されている。

・知識(パスワード等、利用者本人のみが知り得る情報)による認証
・所有(電子証明書を格納するICカード又はワンタイムパスワード生成器等、利用者本人のみが所有する機器等)による認証
・生体(指紋や静脈等、本人の生体的な特徴)による認証

例えば、知識による認証方式を用いる場合には、利用者が自ら認証情報を設定する機能や、利用者以外の者が認証情報を設定する場合に利用者へ安全な方法で認証情報を割り当てる機能、そして利用者がパスワードを設定する際にセキュリティ上の強度が一定以上となるよう情報システムに要求する機能を設けるよう記されている。

また、情報セキュリティ強度の更なる向上を図るための機能として6つが例示されているが、その1番目には多要素認証が記されている。

他のガイドラインとの違いとしては、知識認証の説明項目において「端末によっては、例えばパスワード以外にも、自分のみが知る「パターン」を主体認証情報として扱うケース(※)があるが、これも「知識」に分類される。」と明記されており、パスワード以外の知識認証についての言及がある。

※「パターン」を主体認証情報として扱うケース
乱数表のマス目の位置と順序を組み合わせた「パターン」を利用者個人がそれぞれ設定し、そのパターンに沿ってマス目を内の文字をつなげて判読した情報で認証する方式。
認証システム「PassLogic」に採用されている。

基礎対策以外の項目「4.1.3」の「ソーシャルメディアサービスによる情報発信」では、アカウント乗っ取りを防止するために、ソーシャルメディアのログインパスワードや認証方法について、二段階認証やワンタイムパスワードなど、アカウント認証の強化策が提供されている場合は可能な限り利用することが推奨されている。

本ガイドライン上では、多要素認証はセキュリティ向上のための機能の一例として紹介するに留まっている。
ただし、実際のところ、本ガイドラインの対象となる府省庁ではそれぞれ独自にセキュリティ強化策を図っていることから、本ガイドラインが遵守事項としているのは粒度の大きな内容であり、具体的な対策方法は各省庁に一任しているものと言えるだろう。

セキュリティの「基本のキ」を押さえ、全体の底上げに力点
【中小企業の情報セキュリティ対策ガイドライン】

中小企業の情報セキュリティ対策ガイドライン」は、経済産業省の外郭団体であるIPA(独立行政法人情報処理推進機構)が策定したもので、主に中小企業を対象に、組織的に情報セキュリティ対策を立てる上で考慮すべき項目が記載されている。
また情報セキュリティに関わる事故例を紹介し、その原因分析や対策の例も示しているほか、全体のボリュームも他のガイドラインよりかなりコンパクトであり、主な対象である中小企業の経営者にもわかりやすい内容となっているのが特徴だ。

初版は2009年に策定しており、新たな脅威などを踏まえて内容を刷新するとともに、経営者観点での情報セキュリティの必要性や管理者が組織的な対策を講じる際の具体的な手引きなどを追記した改訂版が、2016年11月に公表された。

認証に関しては、「情報セキュリティ5か条」の3番目で「パスワードを強化しよう!」と謳っている。
パスワードが推測や解析で不正利用されることを防ぐために、ここではパスワードは「長く」「複雑に」「使い回さない」ようにして強化するべきとして、具体的に以下の3点を抑えるよう推奨している。

・パスワードは英数字記号含めて10文字以上にする
・名前や誕生日、簡単な英単語などはパスワードに使わない
・同じパスワードをいろいろなウェブサービスで使い回さない

このように、認証に関する一般的なセキュリティ対策の基本中の基本のみを抑えた内容となっているが、特に中小企業や個人事業主の中にはそれすらも守られていないケースが多々あるのが現実だ。
そのため全体的な底上げを目指した性格が強いセキュリティガイドラインだと言えるだろう。
ただ、金融機関や大手ECサイトなど、一般サービスにおいてもパスワード以外の認証方式が採用されつつある現在において、パスワード以外の認証方式について紹介すらされていないのは不十分だと思える。

二種類以上の認証方法による多要素認証を要求
【PCI DSS】

いま特に注目度が集まっているのが、クレジットカード情報保護のための国際的な情報セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」だ。
経済産業省が主導する「クレジット取引セキュリティ対策協議会」が2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」では、2020年の東京オリンピック・パラリンピック開催に向けてセキュリティ強化を図ることなどを目的として、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針が掲げられたのである。

PCI DSSは、大手クレジットカードブランドであるAmerican Express、Discover、JCB、Master Card、VISAが2004年に共同策定したものだ。
カード利用の実態やセキュリティ動向などに応じてこれまで細かい改定が重ねられており、現在は2016年4月28日にリリースされた「PCI DSS v3.2」が最新版となっている。

PCI DSSには、クレジットカード情報の保護で求められる基本的なセキュリティ対策を示した12の要件が記されており、各要件には具体的な対策方法などが示されている。
順守すべき要件や項目は、クレジットカード加盟店やカード発行会社など、対象の立場に応じたものとなっている。

さらに、カード会員データへのアクセスを本当に必要とするユーザーに限定するために、役割をシステム管理者、コールセンタースタッフ、店員などに分け、各役割のアクセスニーズが定義されている。

PCI DSSの中でも認証に関する対策が主に記されているのが要件8だ。

ここでは「カード会員データ環境(Cardholder Data Environment:CDE)」と呼ばれるカード情報を取り扱う内部システムにアクセスする際には、多要素認証を使用して安全に保護することが求められている。
ここで注意したいのが、多要素認証に当たっては、次の3つの認証方法のうち最低2つの方法を認証に使用する必要があるという点だ。

1:記憶情報→ユーザーが知っていること(パスワードやパスフレーズなど)
2:所有情報→トークンデバイスやスマートカードなど、ユーザーが所有しているもの
3:生体情報→ユーザー自身の身体的特徴(指紋、静脈、顔、声紋など)

このため例えば、2種類の個別パスワードを使用したとしても、多要素認証とは見なされないことになる。

また、認証に失敗した際には、どちらの認証において失敗となったのかをユーザーに知らせないようにしなければならない。(参考:PCIのブログ記事「FAQ: Is Two-Step Authentication Acceptable for PCI DSS Requirement 8.3?」
攻撃者は少なくとも2つの異なる認証メカニズムを侵害する必要があることに加え、攻撃を試行する際にいずれの認証メカニズムが失敗原因となったのかを隠すことで、侵害の難度を高めることができ、攻撃者のコスト増大、つまり事業者側のリスク軽減につながる。
準拠する側としてはかなり厳しい要件となるが、セキュリティを高いレベルで確保するためには定番と言えるアプローチである。

多要素認証についてPCI DSSでは「権限を得ようとアクセスを試行する個人が、本人の主張するとおりの人物であるという付加的な保証を提供」するものだとしており、今後、本人認証メカニズムとしてスタンダードとなることを示唆している。

他にも6回以下の認証の試行でユーザーIDをロックすることで、アカウントの繰り返しログイン試行を制限することや、ログインが有効な継続時間を15分以内に制限すること、パスワードは少なくとも90日毎に変更することなど、具体的な数値を挙げて定められている。

「二要素認証」はトレンドから基本に。「PCI DSS」準拠が他のガイドラインもカバー

さて、これまで5つのセキュリティガイドラインを見てきたわけだが、それぞれ対象となる組織が異なり、また対象と策定機関との関係性も異なることから、認証に対して求める内容や、要求レベルにも差があることがお分かりいただけたのではなかろうか。

しかし、温度差はあるものの、ほとんどのガイドラインにおいて二要素認証対応が、推奨または必須として挙げられていた。二要素認証対応は、今後の情報システム構築における前提となっていくだろう。

また、「認証」においては、PCI DSSが最も厳格な内容であり、かつ具体的な要件が詳細に掲載されていると筆者は判断した。
企業や団体が情報システムや提供サービス等における認証システムの構築を考える際には、国際的基準であり、求められているセキュリティレベルも高く、具体的な表記がされているPCI DSSに準拠すれば、必要充分な対策がなされると言えるだろう。

当サイトは「認証セキュリティ」を専門とするため、認証部分のみを取りあげて比較してみたが、実際に策定する諸氏においては他のセキュリティカテゴリにおいても、自社業界のガイドラインを参照するだけでなく、他のガイドラインも比較参照することをお勧めする。

【著者プロフィール】

企業IT・地方自治体系ライター 小池晃臣(株式会社タマク代表)
元地方自治をテーマとした月刊誌の編集者&エンタープライズIT雑誌の副編集長。現在はフリーとなり、主に企業や公共機関のIT活用事例の取材、経営者や首長へのインタビューを中心に活動。唯一の自慢は、日本の全都道府県庁所在地制覇。
現在、月刊「自治体ソリューシン」(ぎょうせい)にて、自治体によるAIやIoT活用の取り組み事例を追う「イノベーションでソリューション」を連載中。

>前回記事:各セキュリティガイドラインにおける「認証」システム構築のポイント(前編)【セキュリティ対策ヒストリー&モデル:第4回】
>「セキュリティ対策ヒストリー&モデル」記事一覧