主体認証機能

154

155

利用者に主体認証情報の定期的な変更を求める場合には、利用者に対して定期的な 変更を促す機能のほか、以下の機能を設けること。

a) 利用者が定期的に変更しているか否かを確認する機能

b) 利用者が定期的に変更しなければ、情報システムの利用を継続させない機能

6.1.1(1)-4 情報システムセキュリティ責任者は、主体認証を行う情報システムにおいて、

主体認証情報が第三者に対して明らかにならないよう、以下を例とする方法を用い て適切に管理すること。

a) 主体認証情報を送信又は保存する場合には、その内容を暗号化する。

b) 主体認証情報に対するアクセス制限を設ける。

6.1.1(1)-5 情報システムセキュリティ責任者は、主体認証を行う情報システムにおいて、

主体認証情報を他の主体に不正に利用され、又は利用されるおそれを認識した場合 の対策として、以下を例とする機能を設けること。

a) 当該主体認証情報及び対応する識別コードの利用を停止する機能 b) 主体認証情報の再設定を利用者に要求する機能

（解説）

遵守事項6.1.1(1)(a)「識別」について

識別のための機能が実装されていない情報システムにおいて主体認証を行う場合

（例えば、識別コード自体が存在せず、主体認証情報の検証のみで主体認証を行う場合）

は、例外措置として判断し、主体を識別しないことによる影響を勘案の上、必要に応じ て代替又は追加の措置を講ずる必要がある。

遵守事項6.1.1(1)(a)「主体認証」について

情報セキュリティ水準と情報システムの利便性等を考慮し、主体認証機能の運用に 係る以下の要件の実装要否を情報システムの導入時に考慮するとよい。

正当な主体以外の主体認証を受諾しないこと。（誤認の防止）

正当な主体が本人の責任ではない理由で主体認証を拒否されないこと。（誤否の 防止）

正当な主体が容易に他の主体に主体認証情報の付与（発行、更新及び変更を含む。

以下この項において同じ。）及び貸与ができないこと。（代理の防止）

主体認証情報が容易に複製できないこと。（複製の防止）

情報システムセキュリティ責任者の判断により、ログインを個々に無効化でき る手段があること。（無効化の確保）

必要時に中断することなく主体認証が可能であること。（可用性の確保）

新たな主体を追加するために、外部からの情報や装置の供給を必要とする場合 には、それらの供給が情報システムの耐用期間の間、十分受けられること。（継 続性の確保）

主体に付与した主体認証情報を利用することが不可能になった際に、正当な主 体に対して主体認証情報を安全に再発行できること。（再発行の確保）

加えて、主体認証を行う情報システムにおいて、情報セキュリティ強度の更なる向上

156

を図るため、以下を例とする機能を設けることが考えられる。

機能 解説

① 多 要 素 主 体 認 証 方 式 で 主 体 認 証 を行う機能

複数要素の主体認証方式を組み合わせて、単一の主体認 証方式よりも強固な主体認証を行う機能を指す。一般に、

異なる認証方式を組み合わせた方が、強度が高くなる。

多要素主体認証方式であれば、仮に一つの主体認証情報 が露呈してしまっても、残りの主体認証情報が露呈しない 限り、不正にログインされる可能性は低いと考えられる。

また、通常の運用時は単一の主体認証を実施するが、認 証の要求時に、アクセス元の IP アドレス、アクセスする 時間帯、位置情報等が通常のアクセスとは異なる特徴が確 認された場合は、不正ログインのリスクが高まったと判断 して多要素主体認証を行う方法も考えられる。

② 前 回 の ロ グ イ ン に 関 す る 情 報 を 通知する機能

主体ごとに割り当てられた識別コードに対して、前回の ログインに関する情報（日時や装置名等）を、次回のログ イン時等のタイミングで主体に通知する機能を指す。

正当な主体以外の者が主体に割り当てられた識別コー ドを使用して不正にログインした場合に、正当な主体がそ れを検知することができるようになると考えられる。

③ 不 正 に ロ グ イ ン し よ う と す る 行 為 を 検 知 又 は 防 止する機能

特定の識別コードによるログインにおいて、指定回数以 上の主体認証情報の誤入力が検知された場合に、その旨を 正当な主体や情報システムの運用担当者等に通知し、一定 期間当該端末（又は識別コード）からのログイン操作受付 を停止する機能を指す。

当該識別コードによる情報システムへの以後のログイ ンを無効にすることも考えられる。

この機能により、不正なログインの試行の有無等につい て、正当な主体や情報システムの運用担当者等がその状況 を確認するとともに、一定程度不正ログイン等を防止する ことができる。

④ 情 報 シ ス テ ム へ の ロ グ イ ン 時 に メ ッ セ ー ジ を 表 示する機能

情報システムへのログインの際に、軽率に不正アクセス に及ぶ行為を抑止する効果が期待されるメッセージを画 面に表示する機能を指す。

通知メッセージとして、以下の例が考えられる。

・アクセス履歴が管理者に通知されること

・利用状況を監視、記録しており、監査対象となること

・情報の目的外利用は禁止されていること

・情報システムへの不正アクセス行為は禁止されており、

157

不正アクセス禁止法の罰則対象となること

⑤ 主 体 認 証 情 報 の 変更の際に、以前 に 設 定 し た 主 体 認 証 情 報 の 再 設 定 を 防 止 す る 機 能

利用者に対して主体認証情報の定期的な変更を求める 場合に、以前に設定した主体認証情報と同じものを再設定 することを防止する機能を指す。

利用者に主体認証情報の定期的な変更を求める必要が ある情報システムを対象としたものであり、利用者が以前 に設定した主体認証情報と同じものを再設定すると、変更 によってもたらされる効果が損なわれることから、変更履 歴の世代管理を行い、何世代か前までの主体認証情報を再 設定することを防止する方法が考えられる。

「（解説）基本対策事項6.1.1(1)-3「利用者に主体認証情 報の定期的な変更を求める場合」について」も参照。

⑥ 管 理 者 権 限 に よ る ロ グ イ ン の 際 に 個 別 の 識 別 コ ー ド に よ り ロ グ イ ン す る こ と を 併 せ て 求 め る 機 能

管理者権限を有する共有識別コードの利用において、実 際の作業者となる個別の識別コードによるログインを併 せて行うことを求める機能を指す。

管理者権限を有する共有識別コードのログイン記録だ けでは、実際に作業をした管理者を個人単位で特定するこ とが困難となるため、作業者個別の識別コードによるログ インを行った後に管理者権限を有する共用識別コードに よるログインを許可するものである。

例えば、当該情報システムのOSがUnix系の場合には、

一般利用者でログインした後にsuコマンドでrootに切り 替えるという手順により、これを達成できる。また、その 場合には、rootによるログインを禁止する設定により、そ の手順を強制することができる。

なお、国民・企業と政府との間で申請、届出等のオンライン手続を提供するシステム においては、「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」

に基づいてセキュリティ要件を決定する必要があるが、リスクの影響度を導出する手 法やパスワード等の対策基準等について記載があるため、その他の情報システムにお いても参考にするとよい。

基本対策事項6.1.1(1)-1 a)「知識」について

端末によっては、例えばパスワード以外にも、自分のみが知る「パターン」を主体認 証情報として扱うケースがあるが、これも「知識」に分類される。

基本対策事項6.1.1(1)-1 b)「所有」について

「所有」による認証の例として、府省庁が個別に保有するアカウント情報のマスター データベース機能を提供する「統合ディレクトリ」とのデータ連携を行う「職員等利用 者共通認証基盤（GIMA：Government Identity Management for Authentication）」 を介し、政府認証基盤（GPKI）における電子証明書を用いた認証、国家公務員IC カ

158 ードを用いた認証等が挙げられる。

基本対策事項6.1.1(1)-1 c)「生体」について

生体情報による主体認証を用いる場合には、その導入前に、この方式特有の他人受入 率（本人を他人と誤って認証してしまう確率）と本人拒否率（本人の認証が受け入れら れない確率）の課題があることを考慮して情報システムを設計する必要がある。

基本対策事項6.1.1(1)-3「利用者に主体認証情報の定期的な変更を求める場合」につい て

利用者に主体認証情報の定期的な変更を求めることの情報セキュリティ上の効果は、

主体認証情報の運用方法や情報システムの認証技術の方式により異なるものであり、

また、生体情報による主体認証方式のように利用者本人でも変更が不可能なものもあ る。定期的な変更に一定の効果がある場合、変更を求める間隔が短いほど効果は高まる ことになるが、変更を強制する頻度が高すぎれば、利用者の利便性を著しく低下させ、

利用者が強度の低い安易なパスワードを設定しやすくなるなど、結果的に主体認証機 能の安全性を低下させて逆効果をもたらし得る。

したがって、利用者に主体認証情報の定期的な変更を求めるか否かは、その効果と逆 効果を総合的に検討した上で判断する必要がある。

なお、識別コード自体が存在せず、主体認証情報を複数の主体で共用せざるを得ない 機器等の利用においては、例えば、人事異動等で利用者に変更が生じた際に利用者に主 体認証情報の変更を求めるなどして、主体認証情報の漏えいによる不正行為を防止す ることが考えられる。