いまさら聞けない「破られないパスワード」の“4つの条件”とは：IAMの「8大ポイント」【中編】

「IAM」（IDおよびアクセス管理）の中核的な取り組みの一つがパスワード設定だ。不正利用に強いパスワードづくりのポイントとは何か。IAMのチップスを集めた。

[Sean Michael Kerner，TechTarget]

　「IAM」（IDおよびアクセス管理）の実装は、システムへの不正アクセスを防ぐための重要な取り組みだ。具体的にはどうすればいいのか。その鍵の一つは、強力なパスワードの設定だ。本稿はIAMを強化できる「8大ポイント」のうち、3つ目と4つ目に焦点を当てる。

3．パスワード設定を改善

併せて読みたいお薦め記事

連載：IAMの「8大ポイント」

• 前編：今や「パスワード流出」は日常茶飯事　求められる2つの対策は？

IAMについてもっと知るには

• いまさら聞けない「IAM」が「クラウド利用」に欠かせない理由
• 緩いIAMポリシーがクラウドを危険にする当然の理由

　パスワードだけでは十分にセキュリティを確保できるとは言い難いが、セキュリティの中核的な要素であることに変わりはない。攻撃者がパスワードを推測できないようにするためには、強力なパスワード設定が欠かせない。定期的な更新をはじめとしたパスワード管理も重要だ。

　組織はパスワードポリシーを決める際に、長さや複雑さなどパスワードの要件を設定する必要がある。パスワードポリシーの決定や運用に当たっては、以下がポイントになる。

• 最小長を設定
  • パスワードの文字数を最低限何文字にするかを指定する。
  • 米国立標準技術研究所（NIST）は12文字以上を推奨している。
• 複雑さを設定
  • 異なる種類の文字を使用するよう設定するなど、文字列の複雑さを指定する。
• 漏えいしたパスワードのデータベースを利用
  • 漏えいしたパスワードは悪用されている可能性があるので使用を避けるようにする。
• パスワードの有効期限を定義
  • 一定期間ごとにパスワードを変更するよう指定する。

4．アクセス権限の制限

　「最小権限の原則」（Principle of Least Privilege：PoLP）はユーザーのアクセス権限を、ユーザーの役割に応じて必要なツールのみに制限する手法だ。組織はPoLPの実施により、流出したパスワードを悪用した攻撃の対象領域を最小限に抑えることができる。PoLP機能は、認められたユーザーのみにアクセスを許可する「ロールベースアクセス制御」（RBAC）ツールに含まれることが多い。PoLPの実装に当たり、以下がポイントになる。

• それぞれの役割に必要なアクセスの範囲を文書化する
• RBACツールに加え、属性ベースのアクセス制御（ABAC：Attribute-Based Access Control）も検討する
• 特権アクセス管理ツールを使い、必要なユーザーのみに特権を付与する

---

　後編は、5つ目から8つ目までのポイントを紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。