Q
自社が提供するWebサービスのユーザーに対し、セキュリティリスクを考慮して、どのようなログインパスワードを設定するよう規定するべきでしょうか。また、ログインパスワードのほか、Webサービスを提供する事業者として、ユーザーの当人認証のために講じておくべき措置などはありますか。
A
企業として、ユーザーにどのようなログインパスワードの設定を求めるかに関しては、日本の法令上は、具体的なルールはありません。企業としては、ユーザーの利便性とセキュリティの確保の観点等から、任意に設定することとなります。
もっとも、米国国立標準技術研究所(NIST)が公開する「NIST SP 800-63-4」では、パスワードの長さや、使用できる文字、使用すべきでない文字列などの要件を示しています。また、内閣サイバーセキュリティセンター(NISC)が作成した資料によれば、ログインパスワードとしては、「英大文字小文字+数字+記号で10桁以上」としておくことが推奨されており、この方式によれば、かなり強度の高いログインパスワードが設定されることになります。
さらに、企業としては、ユーザーの当人認証のためには、ログインパスワードのほか、多要素認証などの認証方法を併用し、適切な対策を講じておくことが必要と考えられます。
パスワードポリシーが必要な理由
会員登録が必要となるWebサービスにおいては、ログインの際、ユーザー本人であることを認証する手段として、ログインIDとログインパスワードを要求することが一般的です。ログインパスワードについては、4〜6桁の数字のみで設定できる場合もあれば、大小英数字と記号を組み合わせなければならないものまで、その粒度はWebサービスごとに大きく異なっています。
あまりに単純なログインID・パスワードの設定や、ログインID・パスワードの使い回しは、セキュリティの観点からはリスクを伴うことになりますので、企業としては、ユーザーにログインID・パスワードの設定を求める場面においても、一定程度の複雑さを求める必要性があるといえます。
特に、Webサービスの提供事業者として、昨今、サイバー攻撃への対策は必要不可欠となっています。サイバー攻撃の手段や種類は日々複雑化していますが、マルウェアを利用した攻撃のほか、ログインパスワードを対象として、文字の組み合わせをすべて試す「総当たり攻撃(ブルートフォース攻撃)」や、パスワードによく使われる文字列を利用する「辞書攻撃」なども存在します。
このような攻撃に対しては、ログインパスワードの設定要件によってリスクを低減することも可能であり、事業者としても、自社のWebサービスにおいて、ユーザーに対してどのようなパスワードポリシーを規定するかは、重要な問題です。
推奨されるログインパスワードの構成
米国の「NIST SP 800-63-4」
Webサービスの提供事業者として、ユーザーにどのようなログインパスワードの設定を求めるかについては、日本の法令上は特段定められていません。
もっとも、パスワードポリシーについて参考となる資料として、「NIST SP 800 シリーズ」があります。これは、米国の政府機関におけるセキュリティ対策のために作成された文書ですが、日本の民間企業としても参照すべき有益な内容がまとめられています。このうち、「NIST SP 800-63B」において、情報システムのユーザー認証に関する技術要件などが解説されています。
| パスワードの長さ (最小) | 8文字以上(ユーザー自身が作成するパスワードの場合) |
| パスワードの長さ (最大) | 少なくとも64文字(推奨。ユーザー自身が作成するパスワードの場合) |
| 使用できる文字 | ASCII(RFC 20)文字、スペース、Unicode(ISO/ISC 10646)文字 |
| その他の要件 | 特定の種類の情報(秘密の質問等)を使用するよう求めてはならない 一般的に使用されていたり、予期されたり、侵害が知られていたりする文字列は使用できないようにする 例 ・過去に侵害されたパスワードのデータベースに含まれるもの ・辞書に載っている単語 ・反復文字、または連続文字(例:’aaaaaa’、’1234abcd’) ・サービス名、ユーザー名、およびそれらの派生語など |
