Identity Management (IdM) and Modern Evergreen Music

記憶力自慢の組織向けのパスワード管理ポリシー

(Translate to English)

Thursday Oct 19, 2006

地方公共団体における情報セキュリティポリシーに関するガイドライン (平成 18 年 9 月版) という文書の 「3.5.4 ID及びパスワード等の管理」 に書かれている遵守事項の例文が, なかなかすごいことになっている:

(3) パスワードの取扱い
職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。

  1. パスワードを秘密にし、パスワードの照会等には一切応じてはならない。
  2. パスワードを記載したメモを作成してはならない。
  3. パスワードは十分な長さとし、文字列は想像しにくいものにしなければならない。
  4. パスワードが流出したおそれがある場合には、情報セキュリティ管理者に速やかに報告し、パスワードを速やかに変更しなければならない。
  5. パスワードは定期的に、又はアクセス回数に基づいて変更し、古いパスワードを再利用してはならない。
  6. 複数の情報システムを扱う職員等は、同一のパスワードをシステム間で用いてはならない。
  7. 仮のパスワードは、最初のログイン時点で変更しなければならない。
  8. パソコン等の端末のパスワードの記憶機能を利用してはならない。
  9. 職員等間でパスワードを共有してはならない。

地方公共団体における情報セキュリティポリシーに関するガイドライン (平成 18 年 9 月版)

これらひとつひとつの項目はまっとうな内容に思えるけど (6 を除く. 理由は後述), すべてを同時に達成することって実際にできるんかな!? とくに上で強調 (太字) した5 項目を遵守するのは相当難易度高いと思うなあ. ヘタすれば, どれも守れなくて結局セキュリティは低下, しかもユーザの利便性はどん底, パスワード忘れの問い合わせへの対応は増える一方になるような気がする.

すこし前 ('02) の調査だけど, IT システムを常用している一般的なユーザが管理しているパスワードの数は 21 個だという話がある. また利用者がパスワードを完全にコントロールできる (自分の覚えやすい文字列を使い, 自分が忘れる前に変更する) ならまだしも, パスワード・ポリシー, たとえばよくあるところだと

  • パスワードを変更するタイミング
  • パスワードに使用することのできる文字種・長さ
  • パスワード履歴に基づく使用禁止ポリシー

などは, そのパスワードを格納するシステムごとに異なっているはずだ. そのような環境下でこんな運用↓をユーザに強制させることができるとすれば, そこは相当記憶力がいい人の集まりに違いない.

  • パスワードは十分な長さとし, 文字列は想像しにくいものにして下さい. 同一のパスワードをシステム間で用いてはならないことになっていますから, システム毎に異なるパスワードを設定していただきます. なおそのパスワードを記載したメモを作成してはならないですし, またパソコン等の端末のパスワードの記憶機能を利用してはならないことは言うまでもありません. 最後に, パスワードは定期的に, 又はアクセス回数に基づいて変更を強制されます. また古いパスワードを再利用してはならないように設定されています. ご注意下さい.

おそらく, この例文を作成した方は 「認証」 と 「認可」 をごっちゃにしていたのではないだろうか (ああ, またココにも 「認証基盤」 というダメ言葉の弊害が!). その誤解を示しているのが, 項目 6 の 「複数の情報システムを扱う職員等は、同一のパスワードをシステム間で用いてはならない」 という文言. たぶんパスワードがひとつ盗まれても他のシステムのパスワードは違うから, 被害は広がらないよーっていうことを意図してるんだろうけど, 本当に必要なのはそうではなくて, システム / アプリケーションごとに適切な認証レベルを設定することのはずだ. たとえばこんな感じ:

  • 社員ポータルと Web メールとインスタント・メッセージングは共通の認証レベルで十分であると定義し, パスワードを一元化 (さらにはシングル・サインオン) する.
  • 一方, 人事システムへのアクセスは人事担当者のみに制限する必要があるので認証レベルを上げ, パスワードだけでなくディジタル証明書の提示も要求する.
  • さらに, 経営情報管理システムはより高い認証レベルが必要であると定義し, パスワードだけでなくディジタル証明書も必要, 特定の階 (ボード・ルームのあるフロア) の端末からしかアクセスを許可しない.

このへんの考え方は 「政府機関の情報セキュリティ対策のための統一基準」 を解説する 「政府機関統一基準の説明資料(2006年8月2日)」 の #81 - #95 になかなかよくまとめられている. あとはもちろん, 弊社のアイデンティティ管理ソリューションもお忘れなく ;)

[1] Comments
Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 11:46AM Oct 19, 2006 by Tatsuo Kudo in Identity Management
Tags:
Comments:

[Trackback] 工藤さん が興味深いお話をされていますね。Sunを始めかなり多くのベンダがかなり前からこういった問題に対してプレゼンテーションをしたり、ソリューションを提供したりしているのですがなかなか事態は改善しないようですね。 少し前から、自分自身が使っているID/Passwordが幾つあるのかを調べ始めているのですが、80個を超えたあたりで面倒くさくなって数えるのをやめました。感覚的には300以上あると推定していて、おおよそ月5アカウントぐらいは増えている気がします。それはパソコンのIDだったり、メ...

Posted by ブログ: 岡崎 - Okazaki's blog on October 19, 2006 at 02:29 PM JST #

Post a Comment:
Comments are closed for this entry.
« Blackbox のカラーリング | Main | Project Blackbox... »