講演資料

最新のサイバーセキュリティ対策

としてのアクセス管理と認証等

⼀般財団法⼈⽇本情報経済社会推進協会(JIPDEC)

常務理事 ⼭内 徹

JIPDEC

の概要



名称 JIPDEC （じぷでっく）

【法⼈番号 1 0104 0500 9403】

⼀般財団法⼈⽇本情報経済社会推進協会



事務所所在地 東京都港区六本⽊⼀丁⽬



設⽴ 1967年12⽉20⽇

昨年50周年

講師⾃⼰紹介

⼭内 徹

⼀般財団法⼈⽇本情報経済社会推進協会(JIPDEC)

常務理事・インターネットトラストセンター⻑

【経歴】



内閣官房IT担当室、経済産業省等においてIT政策及び

基準認証政策の企画⽴案に携わった後、⼀般社団法⼈

JPCERTコーディネーションセンター主席研究員を経

て現職。



また、早稲⽥⼤学⾮常勤講師として「シンガポール／

アジアのITと社会」講座を担当。

ネット社会の信頼性（トラスト）

 JIPDEC

は、インターネットの信頼性（トラス

ト）を確保する技術や仕組みの普及を推進。

信頼できる企業データ

企業内個⼈の電⼦証明書

S/MIME

、DKIMを使った電⼦

メール対策

トラストサービスの信頼性評価

本⽇のご説明の要旨



アメリカ国⽴標準技術研究所（NIST）が、

昨年、電⼦的認証に関するガイドラインの

最新版である「NIST SP 800-63-3」を発

表。



本ガイドラインや最近のサイバー攻撃事例

などから、最新のサイバーセキュリティ対

策として、企業内システムのアクセス管理

と認証につき、何が求められているのか。



信頼できるクラウドサービス等を如何に選

び、安全に使いこなすかについて、解説。

企業経営とサイバーセキュリティ



知的財産やブランドなど、企業の競争⼒の

源泉がデジタル化する中で、サイバーに係

るリスクも増⼤。



IoT

によるサプライチェーンのセキュリティ



サイバーセキュリティ対策（セキュリティ

マネジメント）は、企業経営の課題であ

り、経営者による主体的取り組みが不可

⽋。



リスクは、情報漏洩だけではなく、事業継

続困難や信⽤棄損の可能性。

出所︓横浜信⼀著「経営とサイバーセキュリティ」を参考に作成。

セキュリティ・インシデントの推移

出典︓JIPDEC「IT-Report 2018 Spring」

内部不正，⼈為ミス

なりすましメール

の増加

セキュリティサービス製品の導⼊

43.3% 36.8% 38.0% 28.9% 32.3% 33.8% 29.4% 28.3% 28.0% 24.0% 15.0% 15.9% 16.6% 16.5% 16.2% 16.6% 18.0% 19.0% 18.2% 18.9% 6.5% 7.9% 8.1% 9.2% 9.5% 9.4% 10.0% 10.7% 9.4% 11.3% 28.0% 32.0% 27.4% 35.2% 31.5% 31.3% 32.9% 32.5% 33.6% 34.9% 7.2% 7.4% 10.0% 10.2% 10.5% 8.9% 9.7% 9.5% 10.8% 11.0% 0% 25% 50% 75% 100% 社内サーバ／プラットフォームに対する脆弱性診断サービス 外部Webサーバに対する脆弱性診断サービス Webサーバ向けのSSLサーバ証明書 Web改ざん検知／コードサイニング証明書 クライアント証明書 外部から社内ネットワークへの侵⼊検知サービス セキュリティ機器の運⽤アウトソーシング セキュリティオペレーションセンタ(SOC)による総合的なセキュリティ監 視 セキュリティ情報(脅威情報)配信サービス サイバー保険(個⼈情報漏洩保険含む) 利⽤済み 1年以内に利⽤開始予定 3年以内に利⽤開始予定 予定なし サービス⾃体を知らない (N=693)

多種多様なセキュリティ

サービス製品

出典︓JIPDEC「IT-Report 2018 Spring」

ISMS

による情報セキュリティ対策



リスクマネジメントプロセスを取り⼊れて、情報資

産を保護するための組織的な仕組み（情報セキュリ

ティマネジメントシステム︓ISMS）



ISMS

を構築するための国際規格がISO/IEC 27001

（ISMS要求事項）として定められている。



ISMS

認証とは、ISO/IEC 27001に沿って、PDCAサ

イクルを構築、運⽤していることを、第三者（ISMS

認証機関）が証明すること

リスクのアセスメント及び対応

内外の

状況把握

リスク

特定

リスク

_評価

リスク

_対応

・働き⽅改⾰

・クラウド化

・事業⽬標

・

・

・

情報の

・機密性

・完全性

・可⽤性

の喪失が

想定される発⽣

状況・その原

因・結果などを

特定

特定したリスクの

・影響

・発⽣可能性

を特定

リスクレベルを

決定

リスクの優先

順位付け

リスク低減の

ための管理策

の実施

＊リスク対応に

は、保険など

によるリスク

共有（移転）

などもある。

経営戦略

ISMS

適合性評価制度の概要



⽇本は、世界⼀のISMSの普及国



JIPDEC

の関連法⼈︓(⼀社)情報マネジメントシステ

ム認定センター（ISMS-AC）

認証機関︓２６

認定機関︓ISMS-AC

適合基準

認定（Accreditation)

認証組織︓５５９６

認証（Certification）

適合基準

適合基準

ISO/IEC 17011

（適合性評価－適合性評価機関の認定を⾏

う機関に対する⼀般要求事項）

ISO/IEC 27006

（情報技術－セキュリティ技術－ISMSの審査

及び認証を⾏う機関に対する要求事項）

ISO/IEC 27001

（情報技術－セキュリティ技術－情報セキュリ

ティマネジメントシステム－要求事項）

クラウドサービスのセキュリティ



ISMS

に基づくクラウドサービスのセキュリティ対策

➡ISMSクラウドセキュリティ認証

（ISO/IEC 27001及びISO/IEC 27017）

社内

LAN

社内

LAN

セキュリティ対策は全て⾃前。

➡ISMS認証

セキュリティ対策は、クラウドサービス

に依存する部分が⼤きい。

➡ISMSクラウドセキュリティ認証

NIST SP800-63-3

の概要と

アクセス管理等の課題

NIST SP800-63

とは



⽶国政府機関向けのデジタル認証実装ガイドラ

イン



Digital Identity Model

の保証レベルを定義

Federation

and

A

ssertion

NIST SP800-63-3

の全体構成



3

つの保証レベルを定義



4

つの⽂書によって構成



保証レベル毎にサブドキュメント化

⽂書番号

タイトル

URL

SP800-63-3

Digital Identity Guidelines

電⼦認証のガイドライン

https://nvlpubs.nist.gov/ni

stpubs/SpecialPublications

/NIST.SP.800-63-3.pdf

SP800-63A

Enrollment and Identity

Proofing

登録プロセス、⾝元確認

https://nvlpubs.nist.gov/ni

stpubs/SpecialPublications

/NIST.SP.800-63a.pdf

SP800-63B

Authentication and Lifecycle

Management

認証とライフサイクル管理

https://nvlpubs.nist.gov/ni

stpubs/SpecialPublications

/NIST.SP.800-63b.pdf

SP800-63C

Federation and Assertions

フェデレーションとアサーション

https://nvlpubs.nist.gov/ni

stpubs/SpecialPublications

NIST SP800-63B

のポイント



パスワードからパスフレーズへ



ユーザが設定するときは8⽂字以上、管理者がランダムに設定するときは6⽂字以上



最低64⽂字を許容すべき



スペース（空⽩⽂字）を許容する



複雑さ（英数記号を混ぜるなど）の要件を課すべきではない



パスワードの定期変更の⾮推奨



パスワードを定期的に変更するように要求すべきでない



ただし、パスワード漏えいの恐れがあるときは変更を強制しなければならない



⽣体認証はユーザの利便性を提供する補助的な

認証要素



⽣体認証は確率的なものであるが、⼀⽅で他の認証要素は決定的なもの



⽣体認証の特性は、シークレットではない



その他



秘密の質問の制限、アウトバウンドデバイスの制限等

パスワードの定期変更は条件付禁⽌



ユーザーによる

複雑なパスワードの記憶には限界

がある



パスワードの定期

変更を強制されるとユーザは結果とし

て「弱いパスワード」使う

ようになるという研究結果

例）

password

P

assw

0

rd P

@

ssw0rd P@ssw0rd

!

P@ssw0rd!

1

P@ssw0rd!

2

⼤⽂字/数字

記号

桁数

定期変更１

定期変更２

NIST SP800-63B

5.1.1.2 記憶シークレット検証者

検証者は、記憶シークレットに対して他の構成ルール(異なる⽂字種の組み合わせの要求や、

⽂字の繰り返しの禁⽌など)を強要すべきではない(SHOULD NOT)。

検証者は、記憶シークレットを任意で(例えば

定期的に)変更するよう要求すべきではない

(SHOULD NOT)。

しかし、 認証コードが危殆化した証拠がある場合は、

変更を強制する

(SHALL)。

⽇本でのパスワード管理に関する啓発



総務省「国⺠のための情報セキュリティサイト」

パスワードを複数のサービスで使い回さない（定期的な変更は不要）

http://www.soumu.go.jp/main_sosiki/joho_tsusin/securit

y/business/staff/01.html



内閣サイバーセキュリティセンター（NISC）

「情報セキュリティハンドブック」

パスワードの定期変更は必要なし。流出時は速やかに変更する

http://www.nisc.go.jp/security-site/files/handbook-02.pdf

誤解を招く報道につながる︖︕

内部不正対策としてのアクセス管理



重要情報の取扱い

◎「重要情報」にアクセスできる⼈員（部署）の制限（50.8％）

◎「重要情報」の取扱責任者の任命

（47.5%）



クライアント対策

◎ 外部デバイスへのデータ移動の制限（50.1％）

◎ PC操作ログの取得・保管

（46.6％）



サーバー対策

◎ 特権ユーザ（システム監理者など）の管理 （46.5％）

◎ 社内サーバへの定期的なアクセス権の⾒直し（43.7％）



その他

◎ ⼀般社員向けへの教育・研修の実施

（46.5％）

◎ 退職者に対するアクセス権の早期無効化 （46.5％）

◎ 外部Webサイトへのアクセス制限

（46.5％）

出典︓JIPDEC「IT-Report 2018 Spring」

退職者等のアカウント管理



内部不正対策として、退職者等のアカウントは直ちに消

去する必要があると共に、そのログは⼀定期間、保管す

ることが必須。

情報セキュリティニュースサイト

「Security NEXT」

で

´

内部犯⾏

ʻ

を検索すると

181

件

がヒット

http://www.security-next.com/

クラウドサービスへの

アクセス認証

社内システムへのアクセス認証

79.7% 39.5% 35.4% 29.9% 26.3% 16.5% 17.7% 27.7% 16.3% 18.3% 10.2% 2.2% 17.0% 18.9% 20.1% 32.8% 23.4% 19.2% 17.9% 19.6% 18.2% 34.5% 0% 20% 40% 60% 80% 100% ID／パスワード LDAP／ActiveDirectory ハードウェアトークン(ICカード、RFIDなど) ソフトウェアトークン(ワンタイムパスワード、メール通知、⾳声通知など) ⽣体認証(指紋、静脈、虹彩、顔など) FIDO認証(U2F／UAF) リスクベース認証(画像／⽂字⼀致、CAPTCHA、マトリクス表、QRコードなど) 端末固有情報を利⽤した認証(MACアドレス、IPアドレスなど) 認証連携(フェデレーション、SAML2.0、OpenID Connectなど) 外部サービスを利⽤した認証(Googleアカウント、マイクロソフトアカウント、 Facebookアカウントなど) あてはまるものがない 現在利⽤している 現在は利⽤していないが今後利⽤した い (N=693)

進むアクセス認証

出典︓JIPDEC「IT-Report 2018 Spring」

クラウドサービスのセキュアな認証

クラウドサービス

認証システム

メール、オンラインストレージ等

ブロック︕︕

JCAN証明書による認証

外部環境

内部環境

JCAN証明書により不正な外部アクセスを防ぐ

電⼦契約サービス



書⾯契約では、郵送や捺印のため会社での作業が必要。

取引先

所属会社

在宅勤務社員

①契約書修正をメールでやり取り

②所属会社へ捺印依頼

③捺印済み契約書の郵送

在宅勤務社員

取引先

インターネット上で契約

【テレワークと書⾯契約】

【テレワークと電⼦契約】

電⼦契約の導⼊は、働き⽅改⾰の近道︕︕

ご清聴有り難うございました。

JIPDEC

は、企業のIT利活⽤とセキュリ

ティ対策の両⾯をご⽀援します。

本資料に関する問い合わせ先