アメリカの国立標準技術研究所(NIST:National Institute of Standards and Technology)は電子的デジタルIDの認証のガイドラインにおいて、パスワードの定期変更をユーザーに強制すべきではないとの考えを示しました。これからのパスワード管理はどうあるべきなのでしょうか。
本記事では、パスワード変更に潜む課題と、今後あるべきユーザー認証の姿について解説します。
2017年6月、アメリカのNISTは電子的認証デジタルIDに関するガイドラインである「NIST SP800-63-3 」を発表しました。何らかの強制力を持った文書ではなく、あくまでも提言という位置づけのガイドラインですが、この文書は多くの国や組織、団体に参照されているなど、影響力の大きい文書となっています。
この文書の中で注目を集めたのは「パスワードの定期的な変更を強制すべきではない」と明示された点です。従来は、「仮にパスワードが漏えいしていても、定期的に変更していれば被害が拡大するのを抑えられる」という考えがあったため、システムによる定期的な変更の強制はセキュリティ上有効であると考えられてきました。
NISTがそれを否定した理由は、定期変更を強制するという状況下に置かれたとき、多くの人は自分に覚えやすいパスワードを設定してしまうためです。たとえば、今まで使っていたパスワードの最後に数字を付け、1を2にするなどといったように数字をカウントアップまたはカウントダウンする。あるいは記号を付け、パスワード変更のたびに記号の個数を増やしていくといった形です。人間の記憶力には限界があるため、どうしても覚えやすいものにしたいと考えてしまうのです。
その具体的な事例としは、ノースカロライナ大学による調査が挙げられます。同校では3カ月に1度パスワードを変更することをポリシーとしていましたが、調査対象であった教員や職員、生徒などユーザーの多くは、推測されやすい単純な変更規則に基づいてパスワードを変更していたにとどまっていたというのです。
明らかになったパスワード変更のパターンをルール化し、過去に設定されたパスワードから直近のパスワードを推定できるかどうかの実験が行われました。その結果、そのルールに従って解析を行うことにより、全ユーザーの過去のパスワードがわかっている場合、ユーザが次に選ぶパスワードは17%は5回以内の試行でパスワードが特定され、また、全ユーザーの40%は30秒以内に特定されました。
つまりパスワードの変更を強制しても、多くの人は数字を増やすなど単純な変更しかしないため、変更後のパスワードも簡単に推定できてしまうというわけです。これではセキュリティ上の意味があるとは言えないでしょう。
それでは、どのようなパスワードを設定すべきなのでしょうか。NISTのガイドラインで提示されているのは、パスワードではなくパスフレーズ、つまり単語ではなく文章のような長い文字列を使うことです。具体的には64文字以上の長さの文字列もをパスワードとして設定できること、そして、文章の中で使われる空白を許容することを求めています。また、多言語のパスワードも許容すべきだとしており、今後はUTFへの対応も必要になるでしょう。
たとえば、「P@$$w0rd123!」のような文字列ではなく、「これは推測が難しいパスフレーズです」といった日本語の文章をパスワードとして使うというわけです。これなら意味を持つため覚えやすい上、文字列が長くなるため機械的な試行思考では推測しづらいため、セキュリティ上の強度も増すことになります。
ユーザー認証はシステムの根幹に係わる部分でもあり、NISTが提示するような形に対応するシステムへの修正は時間がかかるでしょう。ただ、パスワードによる認証にはセキュリティ上の課題が多いことも事実であり、今後徐々にNISTのガイドラインに沿った認証システムに置き換わっていくのは間違いがなさそうです。
では、特に企業におけるユーザー認証のシステムは今後どう変わっていくのでしょうか。企業におけるユーザー認証におけるトレンドは、認証基盤のクラウド化です。従来、社内システムのユーザー認証はオンプレミス環境に構築されたユーザー認証基盤で行うのが一般的でしたが、企業で利用しているシステムの多くがオンプレミスからクラウドに移行しつつある現在、認証システムもクラウド側に置かれるようになっていきます。
また、昨今では従業員の働き方も大きく変化し、在宅勤務やワークシェアリングなど、場所を選ばずにインターネットネイティブな環境で業務を遂行できることが求められています。これに対応する上でも、クラウド上で提供されているSSO(Single Sign On)※1やIAM(Identity and Access Management)※2といったサービスの利用が広まるのではないでしょうか。
その際に重要なポイントとして、インターネットからのアクセスの場合は、本当にユーザー本人がアクセスしているのか、それとも別の人が正当なユーザーを騙っているのかを判別するのは容易ではないということです。
そこで、アクセスに付随する情報を活用して「本人らしさ」を判別し、リスクに応じて認証強度を変えるリスクベース認証が使われ始めています。例えば、ユーザーがアクセスに使用している端末やブラウザ、アクセス元ネットワークや場所情報を活用し、通常と異なる環境からアクセスした場合は、パスワードに加えてワンタイムパスワードなど追加の強固な認証を要求し、逆に、いつもと同じ環境からのアクセスであれば、パスワードのみの認証で許可するというものです。このようなリスクベース認証は、セキュリティと業務効率を両立する上でも必要な要素になっていくのではないかと考えています。
多要素認証とは?パスワードだけでは守りきれないクラウドのセキュリティ
※1 SSO(シングルサインオン):1回の認証手続きで複数のOSやアプリケーション、サービスなどにアクセスできること
※2 IAM(アイデンティティ&アクセス管理):社内アプリケーションやクラウドサービスなど企業が利用するシステムごとに設定された複数のIDを統合管理し、同時にアクセス権限の適切な管理を行うための仕組み
ビル・ゲイツは2004年に"The password is dead"と宣言しましたが、それから14年過ぎた2018年現在もパスワードは多くのシステムやサービスで使われ続けています。死んだと言われてからあまりに長く使われ続けていることから、"Walking Dead"と揶揄されているぐらいです。先に述べた通りパスワードは人間の記憶力に大きく依存しているという課題を抱えていますが、パスワードに変わる決定的な認証手段がまだ存在していないのもまた事実です。
近年ではスマートフォンに指紋認証や顔認証デバイスが搭載されるなど、身近な場面で生体認証が広まり始めています。ただ、現在の技術では複製・模倣された生体情報を使用して突破されてしまうといった課題もあり、パスワードを代替するまでには至っていません。しかし将来的には、『FIDO』などの技術の普及とともに利用が拡大していくでしょう。
FIDOとは公開鍵認証を用いたユーザー認証システムであり、認証を行うシステム側に保存した公開鍵とユーザーのデバイス側に格納された秘密鍵を使って認証します。秘密鍵は厳密に管理されデバイス上に暗号化されて保存されており、生体認証やPINコードの入力などによってロックを解除しなければ使用できません。デバイス上での認証が成功すると、認証結果を秘密鍵で署名してサーバ側に送信し、サーバ側では公開鍵での認証結果の検証が行われます。FIDOはパスワードや生体情報といった秘密情報をネットワーク上で伝送する必要がないセキュアな認証方式であり、今後の普及が期待されています。
パスワード不要の認証「WebAuthn」とは?|「FIDO」の構成技術を解説
このようにパスワードに代わるユーザー認証の実現に向けた取り組みもすでに始まっています。企業のユーザー認証基盤を構築する際には、こうしたトレンドも視野に入れつつ検討する必要があるのではないでしょうか。
※ 本記事は2018年5月1日、6月5日にNRIセキュアのWEBサイトに掲載された記事を元に再構成したものです。