ここ1年の間に、「パスワードの定期変更は不要」という趣旨の記事や公的機関のレポートをよく見かけるようになりました。多くの記事は、2017年7月に2年ぶりに改訂された米国の国立標準技術研究所(NIST▼)が発行する文書群「SP800-63」シリーズを根拠としています。本当に不要なのでしょうか。今回はこの文書を詳しく見ていきます。
米国政府機関向けの文書
そもそもSP800-63は、米国の政府機関が利用する認証システムのセキュリティ要項をまとめた文書です。一般企業やユーザーなど利用者向けに書かれたものではありません▼。しかし米国に限らず、日本の中央省庁や公的機関などもSP800-63に従って認証システムを運用したり、国内の一般企業に向けてSP800-63に沿った注意喚起を行ったりしています。
SP800-63の最新版は、NISTのWebページ▼で公開されています(図1)。文書は、概要をまとめたガイドラインの「SP800-63-3」、ユーザーの登録と身元確認に関する「SP800-63A」、認証とライフサイクル管理に関する「SP800-63B」、認証連携と連携時にやり取りする情報に関する「SP800-63C」の四つに分かれています。パスワードの運用方法はSP800-63Bに記載されています。
SP800-63の原典は英語ですが、日本情報経済社会推進協会(JIPDEC▼)やOpenIDファウンデーション・ジャパンなどが日本語訳を公開しています(図2)。
認証手段を九つに分類
SP800-63Bでは、認証手段を九つに分類しています。一つひとつ見ていきましょう(図3)。
(1)は「記憶による秘密」です。パスワードや暗証番号(PIN▼)などが該当します。多くはユーザーが決めた文字列で、頭の中で覚えておきます。認証の要素としては「記憶認証」(something you know)と呼ばれます。
(2)は「見て確認する秘密」です。オンラインバンキングなどで使う乱数表や、Googleのバックアップコード▼などが該当します。これらは、銀行などからの送付物や印刷した紙などに書かれた情報です。「所有者認証」(something you have)に当たります。
(3)は「別の通信チャネルを使う端末」です。例えば、パソコンでインターネットにアクセスするときの、スマートフォン(スマホ)によるSMS▼や音声で通知されるコードがこれに当たります。認証の要素は、スマホなどの端末の所有者認証です。
(4)と(5)は「OTP▼端末」と「多要素のOTP端末」です。OTP端末とは、ワンタイムパスワードを表示するための専用の小型機器(トークン)やOTPを表示するソフトウエアをインストールしたスマホなどを指します。多要素である(5)は、OTPを表示させる際、PINの入力や指紋認証など、別の認証手段が必要な端末です。(4)は端末による所有者認証で、(5)はさらに記憶認証や「生体認証」(something you are)の要素が加わります。
(6)は「暗号用ソフトウエア」です。パソコンやスマホなどにインストールされたクライアント証明書などのソフトウエアを指します。証明書は、認証に使う暗号鍵を含んでいます。ソフトウエアの所有者認証です。
(7)は「暗号用端末」です。認証時にパソコンなどにつなぐUSBキーやスマートキーといった端末を指します。これにも、認証に使う暗号鍵が入っています。これも所有者認証です。
(8)と(9)は、「多要素の暗号用ソフトウエア」と「多要素の暗号用端末」です。利用の際にパスワード入力や指紋認証などを必要とする(6)あるいは(7)を指します。
National Institute of Standards and Technologyの略。
クレデンシャルサービスプロバイダー(認証技術を提供する事業者)向けとしている。
URLは、https://pages.nist.gov/800-63-3/。
Japan Information Processing Development Corporationの略。JIPDECによる、SP800-63Bの日本語訳のURLは、https://www.jipdec.or.jp/sp/topics/event/u71kba0000009o56-att/nist_sp_800-63b.pdf。
Personal Identification Numberの略。
Googleの2段階認証を有効にした状態で、スマートフォンの故障などでIDとパスワードの認証以外の認証手段が使えなくなったときに使うセキュリティコード。ほとんどの人は覚えきれないほどの大量のデータなので、通常は印刷して保存しておく。
Short Message Serviceの略。
One Time Passwordの略。
