認証の基礎
認証の三要素
認証(Authentication)とは「あなたが本人であること」を確認するプロセスです。不正アクセスを防ぐ最初の砦であり、ひとり情シスが管理する認証の仕組みは企業のセキュリティレベルを大きく左右します。認証は大きく3つの要素に分類されます。
三要素の分類
| 要素 | 内容 | 例 |
|---|---|---|
| 知識認証 | 本人だけが知っている情報 | パスワード、PIN、秘密の質問 |
| 所持認証 | 本人だけが持っている物 | スマートフォン、ICカード、ハードウェアトークン |
| 生体認証 | 本人の身体的特徴 | 指紋、顔認証、虹彩、静脈 |
それぞれに長所と短所があり、単独で使うよりも複数の要素を組み合わせること(多要素認証)で安全性が大幅に向上します。
パスワードポリシーの設計
知識認証の代表であるパスワードは、依然として最も広く使われている認証手段です。現在のベストプラクティスは以下の通りです。
- 最低14文字以上を推奨(NIST SP 800-63Bガイドライン準拠)
- 定期的な強制変更は不要:かえって脆弱なパスワードの使用を招くため(ただし漏えい時は即変更)
- パスフレーズの活用:「CorrectHorseBatteryStaple」のような覚えやすく長い文字列
- 流出チェック:Have I Been Pwnedなどで既知の流出リストに含まれていないか確認
- 共通パスワードの禁止:辞書にある単語や「password123」のような安易なものを拒否
Active Directoryでのパスワードポリシー
Windows ServerのActive Directoryでは、グループポリシー(GPO)でパスワードポリシーを一括設定できます。
- 「グループポリシーの管理」を開く
- Default Domain Policyを編集
- コンピューターの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → アカウントポリシー
- パスワードの最小文字数、履歴、有効期間などを設定
- アカウントロックアウトのしきい値(例:5回失敗で30分ロック)を設定
パスワードマネージャの導入
複雑なパスワードを覚えるのは人間には困難です。パスワードマネージャの活用を全社的に推進しましょう。
- 1Password Business / Bitwarden:チーム向けに共有機能あり
- マスターパスワードは十分に強固なものを設定し、必ず多要素認証を有効化
- ブラウザのパスワード保存機能よりも専用ツールを推奨
- 退職者のアカウント無効化手順も事前に策定しておく
「パスワードの使い回し」は最も危険な行為です。1つのサービスからパスワードが流出すると、同じパスワードを使っているすべてのサービスが危険にさらされます(パスワードリスト攻撃)。パスワードマネージャでサービスごとに異なる強力なパスワードを生成・管理する運用を定着させましょう。
✅ 完了済み