CIS Benchmarksが推奨するパスワードポリシー

2024年5月4日 21:28

CIS Benchmarksについて

推奨するパスワードポリシーの前にCIS Benchmarksについて以下にAWSのホームページでの記述を引用します。

CIS Benchmarks は、セキュリティ担当者がサイバーセキュリティ防御を実装および管理するのに役立つ、世界的に認められたコンセンサス主導の一連のベストプラクティスです。

CIS Benchmarks は、次のような主要なセキュリティおよびデータプライバシーフレームワークと整合的なものとなっています。
・米国国立標準技術研究所 (NIST) Cybersecurity Framework
・Health Insurance Portability and Accountability Act (HIPAA)
・Payment Card Industry Data Security Standard (PCI DSS)

AWS: CIS Benchmarks とは何ですか?

これからご紹介するパスワードポリシーはCIS Benchmarksを作成するCIS（Center of Internet Security）が推奨するパスワードポリシーになります。

推奨するパスワードポリシー

各パスワードポリシーは以下のファイルを参照しています。自社のパスワードポリシーを策定する時の参考などにご利用ください。
ファイル: CIS_Benchmarks_Password_Policy_Guide_v21.12.pdf

パスワードの最小文字数

CISではパスワード認証のみの場合は14文字以上、MFA（多要素認証）がある場合は8文字以上を推奨しています。なお、最大文字数についてはシステム制約上での無制限としています。

Password Length (Min)
・PW Only Account: 14 Characters
・MFA Account (PW Factor): 8 Characters

5.1.1 Password—or better yet, Passphrase—Length

パスワードの複雑性

CISではパスワードに全ての文字種類（数字・英大文字・英小文字・記号）の使用を許可するように求めるとともに、パスワード認証のみの場合はアルファベット以外の文字を最低でも１文字含めることを求め、MFA（多要素認証）がある場合はパスワードの複雑性を求めないとしています。

Password Composition
Allow all character types in a password.
・PW Only Account: Require at least 1 non-alphabetic character.
・MFA Account (PW Factor): No composition requirement.

5.1.2 Password Composition/Complexity

パスワードの有効期限

CISではユーザーの役割や業務の変更や部署・会社から離れたタイミング等での速やかなパスワードの変更の他、年に一度のパスワードの変更を推奨しています。
※パスワードが複数の人で共有されることも想定しているようです

Change immediately based on events, with a one-year expiration “backstop” (annual).

5.1.3 Password Expiration

パスワードの再利用

今回参照した CIS_Benchmarks_Password_Policy_Guide_v21.12.pdf 上では「過去●世代のパスワードの利用を許可しない」のような記述はありませんでした。なお、OS毎の説明ファイルでは値に差があり、AlmaLinux8では5世代、Debian Linux11では24世代とありました。

※CentOS8の場合の記述
Forcing users not to reuse their past 5 passwords make it less likely that an attacker will be able to guess the password.

CIS_Alma_Linux_OS_8_Benchmark_v2.0.0.pdf
5.5.3 Ensure password reuse is limited

アカウントのロック

CISでは連続した失敗したログイン試行が5回あった場合は一時的なアカウントロックアウト（15分以上）を行い、10回連続した失敗した試行があった場合は永続的なアカウントロックアウト（ITのリセットが必要）を推奨していました。

Temporary account lockout (15 minutes or more) after 5 consecutive failed attempts, and permanent account lockout (IT reset required) after 10 consecutive failed attempts.

5.1.6 Limit Failed Login Attempts (Lockout)

自社のパスワードポリシー策定の注意事項

上記にご案内した情報はCISが推奨する情報ではありますが、絶対に安全な設定ではありません。また、厳しすぎる要件は以下のように問題を引き起こすこともあります。ポリシー策定時には関係者と十分にコミュケーションをとるようにしてください。

一般的により長いパスワードはより安全で（クラッキングが難しい）、しかし、強制されたパスワードの長さの要件は予測可能で望ましくないユーザー行動を引き起こす可能性もあります。例えば、ユーザーに最低16文字のパスワードを要求することは、4文字の繰り返しパターン（"fourfourfourfour"）や、"passwordpassword"のような簡単に推測できるパスワードを選択させる可能性があります。また、長さの要件は、ユーザーが他の安全でない方法をとる可能性を高めます。例えば、パスワードを書き留めたり、再利用したり、暗号化されていないままドキュメントに保存したりすることです。 合理的な最小の長さの要件を設定し、最大文字数の制限を設けないことで、使用される平均パスワードの長さを増やすことができます。