- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-01-22T17:50:07+09:00","","")
#author("2020-02-15T17:23:39+09:00","","")
[[IPAセキュリティPT評価版]]
*システム管理者の資格情報の保護 [#e9d5340b]
システム管理者は、アカウント管理、バックアップ、アクセスコントロール管理、ログ保全など、システム運営における重要な業務を担います。攻撃者にシステム管理者の資格情報が窃取された場合、情報漏洩、情報資産の改ざん、ログの消去、踏み台による他への攻撃など、広範囲な被害が予想されます。従って、システム管理者の認証情報は、重要な情報資産や個人情報と同等以上の保護が必要です。
*攻撃者から見たシステム管理者 [#e9d5340b]
システム管理者はアカウント管理やバックアップ、セキュリティ設定など、システム運営における重要な業務を執り行います。従って、攻撃者はシステム管理者になりすますことで、システム全体のコントロール権を奪い、重要な情報資産や個人情報を窃取します。しかも、システムやデータの破壊、改ざんも可能なことから極めて重要な情報という事ができます。~
そのため、システム管理者の認証情報は、重要な情報資産や個人情報と同等以上の保護が必要です。
**認証の要素 [#x93385c1]
認証の要素は、知識、生体、所有の3つが認証要素としてあげられます。
*システム管理者の業務と取り扱う情報 [#hd093729]
|業務|情報の種類|
|ユーザー情報の登録・変更|個人情報の取り扱い|
|サーバー、端末の設定、変更|システム構成情報の取り扱い|
|アクセス権限の管理|情報資産の振り分け、アクセス権限の取り扱い|
|要素|例|課題|
|知識|パスワード、PIN|危殆化(漏洩)したことがわからない|
|所有|ICカード、USBトークン|ICカードの場合リーダーが必要|
|生体|顔、指紋、静脈|読み取り装置が必要|
**多要素認証とは [#p0ef7c46]
多要素認証とは、知識、生体、所有の2つ以上の異なる認証要素を組み合わせるもので、かつ、同時に満たすものとされています。銀行のATMで現金を引き出す際は、キャッシュカード(ICカードの所有)を挿入し、暗証番号(知識)を入力するという、多要素認証の代表的なものといえます。~
情報システムでよく使われる多要素認証として、クライアントでは、Note PC での指紋認証+ PIN、顔認証+ PIN があげられます。長いパスフレーズに比べて入力のストレスが低いのが特長です。一方で、対象機器に認証装置が必要なためサーバー等には向いていません。~
サーバーでの多要素認証では、電子証明書が入った USB トークン(所有)とPIN(知識)の組み合わせが代表的です。USB トークンに PIN を設定することにより、正しい PIN が入力された時だけ電子証明書が読み出せます。誤った PIN が規定回数以上入力されると、USB トークンがロックされます。
