【コラム】NISTによる電子認証ガイドライン(NIST SP 800-63-3) とは

　2017年6月にアメリカ国立標準技術研究所(National institute of Standards and Technology (NIST))が、電子認証に関するガイドライン(Electric Authentication Guideline) 第3版を発表しました(https://pages.nist.gov/800-63-3/)。これは、一般的に「NIST SP 800-63-3」と呼ばれ、アメリカの政府機関がユーザ認証や身元証明を行うシステムを実装する際のガイドラインとなるものです。NISTが発表するガイドラインは、あくまでもアメリカ政府機関向けの基準で作成されたものですが、アメリカ政府機関以外にとっても参考にすべき点が多く、実際に日本をはじめとする世界各国から参考にされている基準の一つとなっています。
「NIST SP 800-63-3」では、認証システムは認証の3要素で分類されています。(認証の3要素は先月のメルマガ(コラム)に記載しましたのでご参照ください。) これらの認証の3要素のうち、複数の異なる認証要素を組み合わせることで、セキュリティレベルを高めることが出来ます。NISTでは、認証システムのセキュリティ的な強度(Authenticator Assurance Level(AAL))を3段階のレベル(AAL1?AAL3)で表しています。上位レベルのAAL2/AAL3では、複数の認証要素を組み合わせることが必須となっています。具体的には、AAL1は単要素のみで認証が可能(例：パスワードのみ)、AAL2はソフトウエアベースの二要素認証が必要(例：パスワードとSMS認証等)、AAL3はハードウエアトークン等を利用した二要素認証が必要(例：パスワードとハードウエアトークン等)と定められています。

多要素認証が必要となるシーンとは...

　複数の異なる認証要素を組み合わせれば、認証今日をあげることは可能です。しかし、あらゆる箇所で最高強度の認証を導入しようとすると、ユーザの利便性を著しく損なってしまう可能性があります。セキュリティと利便性はトレードオフの関係にあるため、守るべき情報の価値やリスクに応じたこの2つを天秤にかけ、その場に最適な認証要素の組み合わせを考慮する必要があります。
例えば、クラウドサービスの利用アカウントについて考えてみましょう。万が一、サーバーの作成や削除などが可能な強い権限を持つアカウントが乗っ取られてしまうと、運用中のサーバーを消されてサービスが停止してしまったり、大量のサーバーを起動されて甚大な金銭被害を被る可能性があります。そのため、このような権限の強いアカウントは利便性よりもセキュリティを重視し、二要素認証を設定することが妥当と考えます。

　最近のコロナ禍でテレワークが進み、その一方でテレワークでのリスクが拡大しています。米クラウドストライク社が昨年実施した調査では、サイバー攻撃を受けてから対応を終えるまで、日本企業は平均223時間を要し、世界平均と比較して4割も遅く、日本企業の苦境が映し出されています。攻撃者は対策の甘い端末から企業ネットワークに入り込み、経営の中枢を担うシステムの乗っ取りを試みます。テレワークの普及は、侵入口が今まで以上に増えることと同義語です。
様々なシーンで利用実績豊富で、ITリテラシーに依存せずどなたでも簡単にセキュアに利用できるSwivel多要素認証ソリューション(https://www.securitystrings.com/download/sw_dl.html#casestudy)を、この機会に是非ご検討ください。