#author("2020-02-15T18:08:57+09:00","","")
[[IPAセキュリティPT評価版]]
*システム管理者の資格情報の保護 [#e9d5340b]
システム管理者は、アカウント管理、バックアップ、アクセスコントロール管理、ログ保全など、システム運営における重要な業務を担います。攻撃者にシステム管理者の資格情報が窃取された場合、情報漏洩、情報資産の改ざん、ログの消去、踏み台による他への攻撃など、広範囲な被害が予想されます。従って、システム管理者の認証情報は、重要な情報資産や個人情報と同等以上の保護が必要です。~
一方で、パスワードという知識要素の認証は、ログ分析以外に危殆化を知ることができません。例え、定期変更を設定したとしても、次に変更される時期までは、攻撃されるリスクが残ります。~
そこで、多要素認証をもちいてシステム管理者の資格情報を保護し、資格情報の窃取、漏洩を防ぎ、情報資産の保全を強化します。
**多要素認証 [#l3bf73e9]
多要素認証とは、知識、所有、生体という認証要素を複数、同時に満たす必要があります。NIST SP800-63B では、次の方式、もしくは組み合わせが要求されています。
|Authenticator|内容|h
|多要素OTPデバイス|PIN を入力することでワンタイムパスワードを生成するデバイス|
|多要素暗号ソフトウェア|PIN を入力することで秘匿エリアに保存された電子証明書が読み出せるソフトウェア|
|多要素暗号デバイス|PIN を入力することで秘匿エリアに保存された電子証明書が読み出せるデバイス|
|記憶シークレット+ルックアップシークレット|パスワードと乱数表、リカバリコードの組み合わせ|
|記憶シークレット+経路外|パスワードとSMSによるコード送信|
|記憶シークレット+単一要素OTPデバイス|パスワードとワンタイムパスワード生成デバイス|
|記憶シークレット+単一要素暗号ソフトウェア|パスワードとOSの秘匿エリアに保存された電子証明書|
|記憶シークレット+単一要素暗号デバイス|パスワードとデバイスの秘匿エリアに保存された電子証明書|
