ISO/IEC27002に追加された多要素認証

ISO/IEC 27002の2022年版の発行から2年を経過して、いつ発行されるか気にしていたJIS Q 27002が6月20日についに発行されました。今回はこの中に認証を強化するための管理策として記載されている多要素認証について、過去の規格、他のガイドラインと比較してみます。今回、多要素認証が、ISO/IEC 27002に入ったことでISMS認証取得企業でのセキュリティ対策として多要素認証の実装が進めばいいなと思います。

情報セキュリティマネジメントシステム（ISMS）では、情報セキュリティ管理策（「マルウェア対策」や「データのバックアップの取得や管理」「アクセス制限」などの対策）を決定し、実施することが求められます。情報セキュリティ管理策を規定する国際規格であるISO/IEC 27002が2022年に改訂されたことを受けて、対応するJISであるJIS Q 27002を改正しました。

情報セキュリティ管理策に係る最新の国際規格とJISの整合が図られることにより、多様化する脅威に対するサイバーセキュリティ対策、クラウドサービスの利用、リモートワークの普及など、情報セキュリティを取り巻く技術や環境の変化への対応が可能となり、我が国の情報セキュリティの向上に一層寄与することが期待されます。

※日本産業標準調査会（JISC）のHP（https://www.jisc.go.jp/）から、「Q27002」でJIS 検索する と本文を閲覧できます。

https://www.meti.go.jp/press/2024/06/20240620002/20240620002.html

ISOの2022年版の記載内容と2013年版

2022年版では、管理策「8.5 セキュリティを保った認証」に、重要な情報システムにアクセスするために、知識、所持物、生体情報など複数の認証要素を組み合わせること（多要素認証）で不正アクセスの可能性を減らすことができると書かれています。10年以上前の2013年版の27002では、多要素認証についての記載はありませんでした。

2022年版と2013年版の対応は、付属書Ｂに示されています。「8.5 セキュリティを保った認証」は、2013年版では「9.4.2 セキュリティに対応したログオン手順」が対応することがわかり、記載されていませんでした。

多要素認証は、いろいろなインターネットサービスで使われていて今では身近なものになっていますが、当時はそうでもなかったということでしょう。その頃の多要素認証に関する記事に以下のものがありました。以降、サイバーインシデントの対応として、徐々に導入されていったものと思われます。

Evernote、再発防止に向け二要素認証導入へ

認証の基本を図解、今なぜ2要素認証が必須になってきているのか

NISTではどのような扱いであったか

ISO/IEC 27002の2013年版には書かれていませんでしたが、NISTではどうだったのでしょうか。NIST SP800-53とNIST SP800-171を見てみました。
NIST SP800-53の最新版のrev5は2021年の9月に、その前のrev4は2013年の4月に発行されています（2013年の4月には、ISO/IEC27002も発行されています）。
NIST SP800-171は、最新版のrev3は2023年の9月に、その前のrev2は2018年の6月に発行されています。

NIST SP800-53

NIST SP800-53の最新版のrev5（SP800-53とSP800-53B）は日本語に翻訳されたものがIPAのサイトにありました。管理策番号 IA‐2(1) に特権アカウントへの多要素認証が、IA‐2(1) に非特権アカウントへの多要素認証が書かれていました。
SP800-53では、管理策のベースラインを「低」、「中」、「高」と定めていて、それぞれ管理策を実装するシステムの重要度を表します。「低」は、低重要度のシステムということになります。以下に引用したとおり、多要素認証は、低重要度のシステムに対しても実装することが適当であると読めます。

セキュリティ関連NIST文書について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

対して、2013年版ではどうであったか。IPAのサイトに翻訳版は残っていませんが、NISTのサイトにありました。当時は、特権アカウントへのネットワークアクセスのみが「低」で、非特権アカウントへのネットワークアクセス、特権アカウントへのローカルアクセスが「中」、非特権アカウントへのローカルアクセスが「高」となっていたことがわかります。
それが、2021年のrev5では、低重要度のシステムも含めて実装対象とするようになったということになります。

SP 800-53 Rev. 4, Security and Privacy Controls for Federal Information Systems and Organizations | CSRC

NIST SP800-171

NIST SP800-171は、SP800-53のベースライン「中」以下の管理策を元に作られたアメリカ政府の委託先事業者向けのセキュリティ要件集です。最新版のrev3は2023年の9月に、その前のrev2は2018年の6月に発行されています。IPAのサイトからリンクされているエヴァアビエーションのサイトで翻訳版がダウンロードできますので、rev2から見ていきます。

NIST SP 800-171関連主要ドキュメント | エヴァサービス

「要件3.5.3」に、「 多要素認証を特権アカウントによるローカルおよびネットワークアクセスならびに非特権アカウントによるネットワークアクセスに使用する」と記載されていて、SP800-53rev4のベースライン「中」以下が対象になっていることがわかります。

最新のSP800-171rev3はどうでしょうか。この版ではSP800-53rev4に変えてrev5(SP800-53B)のベースライン「中」以下を対象にしているため、「要件03.05.03」は、「 特権アカウントおよび非特権アカウントによるアクセスに多要素認証を実装する」というシンプルな記載になっています。

SP 800-171 Rev. 3, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | CSRC

まとめ

NISTでは、2013年の時点で管理策として多要素認証が書かれていたのに対してISO/IECでは2022年になり、日本（JIS）では2024年になってしまいました。その間、様々なインシデントが報告され、その対策として多要素認証の実装があげられるケースも多くありました。
ISO/IEC27001では、ISMSに必要な管理策を組織として決定することが求められているので、多要素認証を適切なシステムに対して実装していなかったことの理由を管理策集の27002に入っていなかったことにするわけにはいきません。
ただ、現実的にはISMS認証取得企業では27002に載っている管理策からの選択にとどまっているところもありそうで、認証取得や維持審査を通してそういった企業のセキュリティ対策として多要素認証の実装が進めばいいなと思います。