CISベンチマーク 2021年1月アップデート / CIS Benchmarks January 2021 Update（転載）

Blog | CIS Benchmarks January 2021 Update:

CISは、以下のCISベンチマークのリリースを発表します。これらのCIS Benchmarkのリリースは、チケット、コメント、コミュニティコールへの参加など、コミュニティへの貢献者の皆様の時間とサポートなしでは実現できませんでした。皆様の貢献は、私たちのコンセンサスプロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。

CIS Cisco NX-OS Benchmark v1.0.0

Cisco NX-OS を実行している Cisco デバイスの安全な設定を確立するための規定的なガイダンス。

この初期リリースに貢献してくれた Rob Vandenbrink に感謝します。

Download the CIS Cisco NX-OS Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apache Tomcat 9 Benchmark v1.0.0

Linux 上で動作する Apache Tomcat バージョン 9.0 のために安全な設定を確立するための指針です。このガイドは、Apache が提供する tar パッケージによってインストールされた Apache Tomcat 9.0 に対してテストされました。このリリースでの主な変更点：

• 勧告「厳格なサーブレットのコンプライアンスを有効にする」は、その影響の可能性があるため、レベル 2 に移動されました。
• TLS の使用に関するガイダンスが更新され、TLS バージョン 1.2 および/または 1.3 を推奨するようになりました。
• マネージャーアプリケーションパスワードを暗号化するための新しい推奨事項が追加されました。
• アーティファクトは、CIS-CATの将来のリリースに含まれる新しい自動化された評価コンテンツをサポートするために、多数の推奨事項に追加されました。

このリリースに貢献してくれたJoern Krueger氏、James Scott氏、Ardnor Zeqiri氏に特別な感謝の意を表します。

Download the CIS Apache Tomcat 9 Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apple macOS 10.12 Benchmark v1.2.0

Apple macOS 10.12のセキュアな構成姿勢を確立するための処方的なガイダンスです。このガイドはApple macOS 10.12に対してテストされています。このリリースでの主な変更点：

• パスワードポリシーセクションの監査と是正処置を更新しました。
• CIS コントロール v7.1 を追加しました。

このリリースに携わってくれたロン・コルビンとウィリアム・ハリソンに特別な感謝の意を表します。

Download the CIS Apple macOS 10.12 v1.2.0 Benchmark PDF

CIS Alibaba Cloud Foundation Benchmark v1.0.0

これは、Alibaba Cloud のための新しい CIS ベンチマークである。このベンチマークには、基礎的な設定、テスト可能な設定、アーキテクチャに依存しない設定に重点を置いた、Alibaba Cloud サービスのサブセットのセキュリティオプションを設定するための指針が記載されている。ここでは、その内容を簡単に紹介する。

• アイデンティティとアクセス管理（IAM）の設定
• ロギングとモニタリング構成
• ネットワーク設定
• 仮想マシンの設定
• ストレージ構成
• リレーショナルデータベースサービス（RDS）の設定
• Kubernetesエンジンの設定
• アリババクラウドセキュリティセンターの設定

コミュニティ、編集者、Alibaba Cloudチームに感謝します。

Download the CIS Alibaba Cloud Foundation Benchmark PDF

ZOZO、全社にパスワード管理ツール「1Password」導入（転載）～1Passwordの企業への導入事例は珍しいかも～

パスワード管理ツール1Passwordの全社導入から運用まで - ZOZO Technologies TECH BLOG:

 パスワード管理ツールの必要性

パスワード管理の基本は、強固なパスワードを作成し使いまわしせず、なるべく漏洩しないようにすることが挙げられると思います。ありがちなものとしては、以下のような方法があります。

• 付箋や紙に書いて管理
• PCのメモ帳で管理
• Excelで管理
• ブラウザに保存

ですがセキュリティや管理・運用のしやすさを考えると、上記の方法よりも専門ツールであるパスワード管理ツールを利用する方が優れています。

「パスワードなんてブラウザに保存できるからそれで事足りる」と思う方もいらっしゃると思います。しかし会社としてパスワード管理の基盤がないと、チームごとに管理方法が違ったりパスワードの共有に平文が用いられてしまったり様々なリスクが生じます。

パスワード管理ツールは、便利なだけではなくそういった問題を解決できるので、利用者側、管理者側ともに非常に有益なものと言えます。

パスワード管理ツールの選定

パスワード管理ツールは色々あります。

• 1Password
• LastPass
• パスワードマネージャー
• Keeper
• True Key
• Dashlane
• Bitwarden

ざっと調査しただけで、上記が挙げられます。

上記の全てを比較したわけではありませんが、どれも基本的な機能としては大差ありません。例えば下記のような機能があります。

• 複雑なパスワードの自動生成
• ID・パスワードの自動入力
• パスワードの強度や使い回しのチェック
• 多要素認証
• ID・パスワードの共有

強度の高いパスワードを生成でき、利用者は自身のマスタパスワードだけを覚えれば他のパスワードを覚える必要がなく、保存された情報は暗号化され安全に共有できます。もちろんパスワード以外のセンシティブな情報も保存できます。パスワード管理ツールはそのような機能を備えたツールです。

1Passwordの優位性

弊社では主に以下の点で、1Passwordを採用するに至りました。

Secret Keyの仕組みがある

1Passwordにはマスタパスワードに加えてSecret Keyがあり、たとえマスタパスワードが漏洩したとしても、Secret Keyを知らなければアクセスできません。マスタパスワードはデバイス上のデータを保護し、Secret Keyはデバイスからデータを保護してくれるとのことで、この二段構えの構成は安心できます。

グループ単位で管理できる

ビジネスプラン以上ではユーザグループを作成できます。グループにユーザを追加し、グループを保管庫（Vault）に紐付けることで権限付与が可能です。

CLI（コマンドライン）ツールがある

1Passwordにはコマンドラインツールがあります。コマンドラインツールに対応していることは、運用の自動化を考慮する上で重要な要素と捉えています。

例えば以下のようなことができます。

# ユーザ招待
op create user <メールアドレス> <氏名>
# ユーザの停止と再開
op (suspend | reactivate) <user>
# ユーザ削除
op delete user <user>
# 一覧取得
op list (users | groups | vaults | items | documents | templates) [--vault <vault> | --group <group>]

レポーティング（パスワード漏洩チェック）機能がある

1Passwordにはドメイン侵害レポートがあります。自社が管理するドメインを登録しておくと、漏洩に巻き込まれたアドレスを見つけることができます。このレポートを元にしてパスワードの変更をユーザへ促すことができます。

導入にあたっての課題

課題は大きく3つありました。

• プランの検討
• SSO（シングルサインオン）が可能か
• プロビジョニングが可能か
  
  

プランの検討

1Passwordのビジネス向けプランは3つあります。

• Teams
• Business
• Enteprise

結論から言うと弊社はBusinessプランを選択しました。

Teamsプランでは、詳細な権限管理ができないため、全社的に導入するとなると機能不足でした。

Businessプランでは、より詳細な権限管理からログ管理やレポート閲覧まで豊富な機能を備えているため、SaaS製品としての機能が十分であると判断しました。また、Azure Active Directory、Okta、OneLoginと連携できるのもこのプラン以上になっています。弊社としては、グループで管理できることが運用上大きなメリットでした。ユーザ単位で権限管理をするのは運用が煩雑になると思います。

Entepriseプランでは、上記の機能に加えて専用窓口を設けてくれたり、導入にあたりトレーニングを受けられるなどのメリットがあるそうです。ですが弊社ではそこまでのサポートは必要なく、Businessプランで利用できる機能さえあれば十分でした。

SSO（シングルサインオン）が可能か

弊社のシステム選定基準では、基本的にSSOが利用できるシステムを選定しています。しかし、1Passwordの仕様上SSOは不可でした。SSOできないことは利用者目線に立つとある程度の不便さはあります。ですが1Passwordの認証の堅牢性の土台となっているSecret Keyの有用性とのバランスを考慮して、SSO不可であることを許容しました。

プロビジョニングが可能か

プロビジョニングを行うためには1Password SCIM bridgeを構成する必要があります。

• Google Cloud Platform Marketplace
• Docker, Kubernetes or Terraformで構築

SCIM bridgeサーバを構築するために、主要なクラウドサービスにおいて試算を行いました。しかし、現状ではコストメリットが無さそうだったためプロビジョニングの導入は一旦見送りました。会社の規模拡大に合わせ、再度検討したいと思っています。プロビジョニングの代わりに、前述のコマンドラインツールを活用し運用することにしました。

実際の運用

全社導入前に一部の部署で1Passwordを先行利用していたのですが、その時はグループを利用しておらずユーザを保管庫に直接割り当てる運用をしていました。しかしこれでは統一性もなく管理が煩雑だったため、グループベースで管理するように運用を変更しました。ユーザからの利用申請も、kintoneを用いたワークフローで管理し、保管庫とグループの一覧はスプレッドシートにて管理することにしました。

スプレッドシートで管理した理由は2つあります。

1つはグループや保管庫、グループ内メンバーの一覧と、グループがどの保管庫と紐付いているかをユーザが確認できるようにするためです。ワークフロー申請時にどのグループの権限を変更するかなどを記載してもらう際に必要な情報だからです。

もう1つは各保管庫の運用管理者を把握し、ワークフローにおける承認ルートにその保管庫の運用管理者を入れるためです。1Passwordの管理者からでは、各保管庫が実際にどういった使われ方をしているのか分かりません。そのためメンバー追加などの依頼時に各保管庫の運用管理者の承認を確実に得た状態で、管理作業を行っています。

導入効果

パスワード管理の理想的な運用基盤を構築できたことが大きな効果でした。人に依存した運用ルールで安全にパスワードを管理することは限界があります。パスワード管理ツールを用いることで、半強制的にガイドラインに沿った運用へ切り替えることができました。また冒頭で記載した通り、パスワードを平文で保存することはセキュリティリスクになります。そのためパスワードを暗号化できるパスワード管理ツールは、セキュリティの監査に対する解決策の1つとしても有効です。

分かりやすい効果としては以下のようなものがありました。

共有アカウントのパスワードを安全に共有できる

様々なパスワードを覚える必要がなくなり、パスワードジェネレータによって強力なパスワードの生成が容易になりました。例えば自分が共有しているパスワードを変更したとしても、1Password上のパスワードさえ更新されていれば、他の人に新しいパスワードを都度共有し直す必要はありません。利用者は自分のマスタパスワードだけを覚えていればよく、パスワードが変更されたことを知らずともログインできるからです。

また、セキュアにID・パスワードの共有が可能になり、閲覧権限の範囲をコントロールし易くなりました。例えば範囲がチームをまたぐような場合でも、専用のグループを作って該当者を入れてそのグループに保管庫の閲覧権限を割り当ててあげればよいわけです。

多要素認証のワンタイムパスワードの代替

さらに便利だと思ったのは、多要素認証で使用するワンタイムパスワードを1Password上に保存できることです。Authenticator系のアプリと同じように秘密鍵を1Passwordに保存することで、1Password上にワンタイムパスワードが表示されるようになります。

通常、多要素認証ではSMS（ショートメッセージサービス）やAuthenticator系のアプリでワンタイムパスワード（認証コード）を得るため必ずモバイル端末が必要になってしまいます。多要素認証を1Password上に保存すれば端末に縛られない運用が可能になります。

具体的な手順を解説します。

1. まずは設定したいシステムの設定画面で、多要素認証の追加（もしくは変更）を実行し、その手順の中で秘密鍵を取得
   
   Authenticator系のアプリで読み取るためのQRコードが発行される画面などで、秘密鍵を表示できる箇所があると思いますので調べてみてください。※各システムによって異なります
   
   
2. 秘密鍵を入手したら1Passwordのアイテム編集に移動
   
   
3. 1Passwordのアイテム編集画面でラベルの欄にある…（三点リーダー）アイコンを選択
   
   
   
   
   
4. ワンタイムパスワードを選択
   
   
   
   
   
5. ワンタイムパスワードの欄に、先程入手した秘密鍵を貼り付けて保存
   
   
   
   

以上の手順でワンタイムパスワードが表示されるようになりました。元の秘密鍵を入手した画面（手順1）に戻り、6で表示されているワンタイムパスワードを入力して認証し作業は完了です。

まとめ・残課題

実際に導入してみて、パスワード管理ツールに慣れていないユーザからはいまいちよく分からないツールだと思われてしまう印象がありました。そのためマニュアルとは別に使い方を解説する動画を制作し、ユーザがより理解しやすいように工夫しました。

パスワード管理ツールは入れて終わるツールではありません。例えばパスワードをブラウザへ保存してるユーザに対して1Passwordへの移行を促す必要があります。また、ドメイン侵害レポートをチェックし、漏洩したパスワードを使用しているユーザにパスワードの変更を呼びかけることも重要です。活用方法や正しいパスワードの管理方法などは都度啓蒙していく必要があると感じています。

2020年に最もよく使われたパスワードは？ / The worst passwords of 2020 show we are just as lazy about security as ever（転載）

2020年に最もよく使われたパスワードは？

今年もまた、この12カ月間で、パスワードのセキュリティが改善されたかどうかを確認すべき時期がやってきた。

　2015年を振り返ると、もっともよく使われている最悪のパスワードの中に「123456」や「password」といったものが含まれていた。しかし5年経った今でも、こうした例はなくなる気配がない。

　NordPassとそのパートナーは、2020年の情報漏えいインシデントで流出した2億7569万9516件のパスワードを分析した。同社は、出現頻度が高いパスワードは極めて容易に推測できるものが多く、こうしたパスワードを使用しているアカウントは数秒で破られてしまう可能性があると述べている。「ほかに同じものがないパスワード」だと考えられるものは、全体の44％にすぎなかった。

　パスワードマネージャーを提供している企業であるNordPassは米国時間11月18日、パスワードセキュリティの現状がうかがえるレポートを発表した。頻度が高かったパスワードの上位に来たのは、「123456」「123456789」「picture1」「password」「12345678」だった。

　これらのパスワードは、総当たり攻撃で破るのに約3時間かかる「picture1」を除けば、どれも辞書攻撃を行うスクリプトなどを使って数秒で破れるものばかりで、人間でも推測できるレベルのものだった。

　200件強のリストの中には「whatever（どうでもいい）」というパスワードもあった。いまだに強力でクラックしにくいパスワードを使うつもりがない人が多いことを考えれば、これはパスワードセキュリティの現状をうまく表したフレーズだといえるかもしれない。リストには他にも、「football」「iloveyou」「letmein（Let me in、自分を中に入れてくれの意）」「pokemon」などのパスワードが含まれていた。

　NordPassのデータセットによれば、2020年のもっとも頻度が高かったパスワードのトップ10は以下の通りだ。

　パスワードを選ぶ際は、キーボード上で隣り合っている文字や数字を並べるなどの単純なパターンや繰り返しは避けるべきだろう。大文字や記号、数字などを意外な場所に入れることも効果的だ。また、どんな場合でも誕生日や名前などの個人情報をパスワードに使うべきではない。

　ベンダー側でも単純な組み合わせはユーザーのプライバシーやセキュリティの守る上で役に立たないことを意識すべきだが、ユーザー側でも、自分のアカウントを責任を持って守る必要がある。

パスワード管理ツールを使うべき理由（転載）～パスワード管理ツールは必要。でも、トレンドマイクロのパスワードマネージャーはオススメしません（自分、データ消失しましたので( ﾉД`)ｼｸｼｸ…）～

パスワード管理ツールを使うべき理由:

アカウント管理を安全かつ快適に行うために

インターネット上には、ショッピングサイトやSNS、Webメール、クラウドストレージなどの便利なサービスがあふれています。サービスの多くは利用登録が必要で、個人情報を求められるケースもあります。さて、みなさんは登録したサービスのアカウントをどのように管理していますか。

トレンドマイクロの調査*では、インターネットサービス利用者の約6割が複数のサービスにおいて1～3種類のパスワードを使い回していることがわかりました。また、多くは「異なるパスワードを考えるのが面倒」「異なるパスワードを設定すると忘れてしまう」などの理由から、セキュリティ上のリスクを認識しながらも同じパスワードを使い回しているようです。
*2020年8月実施インターネット調査 「パスワードの利用実態調査 2020」、有効回答数515

図：パスワードの使い回しは全体の85.7%、特に1～3種の使い回しが56.7%と大半を占めている(N=515)、単一回答

図：パスワードを使いまわす理由(N=441)、複数回答

複数のサービスで同一のIDとパスワードを使い回していると、どのようなリスクが生じるでしょうか。たとえば、フィッシング詐欺やサービス事業者へのサイバー攻撃などをきっかけにIDとパスワードの組み合わせが流出してしまうと、各種サービスのアカウントを芋づる式に乗っ取られてしまう可能性があります。

アカウントを安全に管理するポイントは、サービスごとに異なるIDとパスワードの組み合わせを使用することです。第三者に推測されにくいパスワードを設定することや、サービス事業者から提供されるワンタイムパスワードなどの二要素認証機能を併用することも重要です。しかし、利用するサービスの数が増えてくると、これらのポイントを踏まえたアカウント管理は思いのほか負担になります。複雑なパスワードを作ったり、メモを参照しながらフォームに入力したりするのも面倒です。

そのような場合は、パスワード管理ツールが便利です。これを使えば、利用中のサービスと、IDとパスワードの組み合わせを安全に管理することが可能です。たとえば、トレンドマイクロのパスワードマネージャーでは、事前に登録したマスターパスワードでログインし、目的のサービスページに移動すると、入力フォームにIDとパスワードが自動入力されます。このため、1つのマスターパスワードさえ厳重に管理すれば、ほかのサービスのIDとパスワードを覚える必要がありません。また、他のサービスで登録済み、あるいはネット上に流出しているパスワード、脆弱なパスワードを指摘し、新たに強固なパスワードを自動生成してくれます。それを利用すれば、少なくとも「異なるパスワードを考えるのが面倒」「異なるパスワードを設定すると忘れてしまう」といった理由でのパスワードの使い回しを防げるはずです。アカウント管理の煩わしさを解消したい方はパスワード管理ツールを試してみましょう。

【転載】ブラウザにパスワード管理を任せるのはアリ？ ～ちなみにトレンドマイクロのパスワードマネージャーはデータ消失したのでおススメしません！！～

ブラウザにパスワード管理を任せるのはアリ？ 1PasswordやLastPassみたいな専用ツールのメリットは？ | ギズモード・ジャパン:

ウェブブラウザのパスワード管理機能が便利なので、最近はパスワードを考えたり覚えたりしなくなっちゃいました。でも、たまたまブラウザが使えない状況になると、ログイン画面で立ち往生することも。ほかの方法を考えた方が良いかな。

そもそもウェブブラウジング目的で開発されたウェブブラザですが、さまざまな機能が追加され、今やありとあらゆることに使われる万能ツールになりました。その機能の1つがパスワード管理です。推測されにくいパスワードを生成してくれたり、パスワード漏えいを警告してくれたりする機能まで追加された今、ブラウザを専用のパスワード管理ツール代わりに使うのはアリでしょうか。

ブラウザのパスワード管理機能をチェック

生活のあらゆる側面で各種オンラインサービスに頼り切っている現状を考えると、そうしたサービスへのログインを管理することの重要性は極めて高く、ブラウザのパスワード管理機能が日進月歩するのも当然でしょう。ウェブサイトのログイン情報をすべて記憶し、複数のデバイス間で同期してくれることなどは、あって当然の機能ですね。

｢Chrome｣｢Safari｣｢Firefox｣でアクセスしたサイトでオンラインアカウントを新規作成しようとすると、破られにくいパスワードとして、規則性がない文字列を提案してくれます（いずれ、このパスワード提案機能は｢Microsoft Edge｣にも搭載されるでしょう）。しかも、パスワード提案はこちらが何もしなくても自動実行されます。新しいサービスへログインしようとしているユーザーに気づいたブラウザが、パスワード入力用フィールドへ候補を自動的に表示します。

Image: Google Chrome

ChromeとSafariはパスワードのチェック機能があり、何度も使い回していると警告したり、推測されにくいと評価したりしてくれます。また、Google（グーグル）のパスワード チェックアップにアクセスするか、macOS版Safariで環境設定メニューのパスワードタブを選ぶか、iOSの設定からパスワードとアカウントを開くかすれば、安全確認しておいた方がよいパスワードを調べられます。パスワードを変える必要が生じた場合に備え、変更用リンクも表示されていて便利です。

FirefoxとChrome、そしてmacOS Big SurおよびiOS 14のSafariは、パスワードが流出したかどうかをパスワード管理画面内で確かめられます。さらに、Firefoxはブラウザと独立して機能するデータ侵害確認ツールも提供していて、Firefox Monitorにメールアドレスを登録しておけば、自分のデータが流出すると知らせてくれます。

モバイルOSのメーカーでもある Google （グーグル）とApple（アップル）は、こうしたパスワード管理機能をそれぞれAndroidとiOSにも入れています。Googleの対応しているAndroidアプリであれば、Googleアカウントをユーザー認証に使って、Chromeに保存しておいた情報で自動ログインできるのです。保存済みパスワードを確認するには、ブラウザでパスワード マネージャーにアクセスしましょう。Androidの設定画面からGoogleを選んでGoogle アカウントの管理をタップし、上部のセキュリティへ移動してパスワード マネージャーを開く方法もあります。

Image: iOS

一方のiOSは、以前から、アプリ用パスワードを保存したうえでユーザーのApple IDと連携させてきました。iOSでアプリにログインしようとすると、SafariやiOSにデータが保存されていれば、以前使ったログイン情報を使うかどうか表示されます。保存済みパスワードなどの情報は、iOSの設定でパスワードとアカウントを開くと確認でき、必要に応じてここで修正も可能です。

このように、ウェブブラウザは多くのパスワード管理機能を備えていて、どんどん機能が追加されています。これでもアカウント情報の安全確保には十分ですが、専用ツールには、もう少しいろいろな機能が備わっています。

専用パスワード管理ツールのできること

パスワード管理に特化したツールは、枚挙にいとまがない状態です。以前から使われてきた1Password、Bitwarden、Dashlane、Keeper、LastPassなどだけでなく、新しいツールもあれやこれや登場し続けています。ここでは各ツールの機能や価格は比べず、ブラウザのパスワード管理機能にはない、専用ツールのメリットを紹介します。

まず、環境を問わず使えることが、専用ツールのもっとも重要なメリットでしょう。使っているすべてのスマートフォン、ウェブブラウザ、PCで情報が同期され、Windows、macOS、iOS、Androidのあいだでパスワードが共有され、特定のデバイスに縛り付けられません。

Image: Dashlane

2つ目のメリットは、家族で使いやすい点です。家族用の料金プランが用意されていることもありますし、パスワードの共有にも適しています。たとえば、あるサイトを子供に使わせる場合や、あるアプリのログイン情報を同僚と共有する場合、専用ツールを使った方がはるかに簡単です。ログイン用パスワード以外にも、防犯システムの解除コードや、Wi-Fiパスワードなどの保存と共有にも使えます。

住所、クレジットカードやパスポートの情報など、大切なデータをたくさん保存しておけるこの機能は、パスワード管理ツールの付加的なメリットです。確かに、ブラウザやモバイルOSにも名前や住所といった情報を自動入力する機能はあります。ただし、パスワード管理ツールの方が、保存できる情報の種類も活用方法も上回っています。

これは、ほかの機能にも当てはまることです。たとえば、強力なパスワードを新規生成する機能はブラウザにも専用パスワード管理ツールにもありますが、専用ツールは生成するパスワードの長さや使える文字種を指定できるなど、操作可能な範囲が広くなっています。これ以外の機能でも、専用ツールはコントロールの幅が広く、選択肢が多い傾向があります。

Image: 1Password

パスワード管理ツールはパスワード管理に特化したツールであるのに対し、ChromeやSafari、Firefox、Edgeは機能盛りだくさんを目指している、という違いがポイントです。グーグルやアップルがパスワード管理とセキュリティを軽視しているわけではないでしょうが、ことソフトウェアに関しては、専用ツールがあるなら使ってみるのが吉です。

専用ツールは余計な道具を増やすようにも感じられるかもしれませんし、月々の支払いが多少増える可能性もあるでしょう。それでも、私たちの経験上こうしたツールを導入する価値はとても大きいと思います。ウェブブラウザの管理機能がどんどん改良されているのも事実ですが、パスワードをしっかり管理したいのであれば、専用ツールが答えです（ちなみに、ブラウザに保存されているログイン情報は、専用ツールにインポートできるはずです）。

【転載】CIS パスワードポリシーガイド。パスフレーズ、監視など - CIS

CIS パスワード ポリシー ガイド: パスフレーズ、監視、その他 - CIS:

ホーム • リソース • ブログ • CISパスワードポリシーガイド:パスフレーズ、モニタリング、その他

それらを愛するか、それらを嫌うが、パスワードは間違いなく時間テストされ、不完全な 正しく使用された場合、サイバー攻撃から組織を保護することができるユーザー認証のための方法でした. しかし、組織のパスワード ポリシーを本当に有効にするには、不正アクセスを防止するための追加の防御戦略を含める必要があります。

新しいパスワード ポリシーの標準は、現実世界の攻撃データを活用し、それを 、ユーザー 、パスワードの作成と記憶を容易にするという 2 つの主要な原則に基づいています。

組織は、これらの新しい標準に準拠するために、更新されたツールとポリシーを採用する必要があります。これには、パスワード作成、多要素認証 (MFA)、アカウント ロックアウト、およびその他の保護対策に対する新しいアプローチが含まれます。

2020 年 7 月に公開された CIS パスワード ポリシー ガイドでは、この新しいパスワード ガイダンスを 1 つのソースに統合します。このわかりやすいガイドでは、ベスト プラクティスを提供するだけでなく、推奨事項の背後にある理由を説明します。最も一般的なパスワード ハッキング手法に関する情報と、攻撃を防ぐためのベスト プラクティスの推奨事項が含まれています。このガイドは、CIS ベンチマークと CIS コントロールの開発に使用される、コミュニティ主導のコンセンサス ベースのプロセスを通じて開発されました。

ユーザーがパスワードを作成して記憶するのを支援するために、このガイドには次のようなヒントが用意されています。

• パスワードの代わりに「パスフレーズ」を使用する   -- 長さは、良いパスワードの最も重要な側面です。しかし、一つの長い単語は覚えておくのが難しいだけでなく、綴るのも難しいです。CapeCodisaFunPlaceのような多くの単語を含むパスフレーズは、覚えやすく、クラックするのが難しくなります。

• 個人情報に関連する言葉を使用しないでください  - 攻撃者がインターネット上であなたについて調べることができるものを避けてください。あなたは地元のマスタングカークラブの会長である場合は、パスワードとして「マスタング」を使用しないでください。

• 辞書語の使用を制限する:  一般に、敵対者がパスワードを攻撃する方法は、最初に辞書内の単語のさまざまな組み合わせを試みることによって行われます。これは多くの言葉ですが、可能なすべての文字の組み合わせを試すよりもはるかに少ないです。パスフレーズに非辞書代替を使用する:  Th3F0rdMust@ngis #1

このガイドには、パスワードおよびアクセスシステムの管理責任者のためのオプションも含まれています。

• 多要素認証 (MFA)  -- MFA (2 要素認証 (2FA) とも呼ばれる) を使用すると、ユーザーはアカウントにログインする際に 2 つ以上の evidence  を提示できます。MFA は、現在市場で入手可能な最も安全なユーザー認証方法であり、ユーザビリティへの影響は最小限です。

• 提供パスワードマネージャ - パスワードで作成されたシステム生成パスワード managerは、人間が作成したパスワードよりもはるかに強力です。しかし、ユーザーは結果を覚えていないでしょう:   GHj *65%789JnF4$#$68IJHr54^78 . パスワードマネージャーはユーザーのパスワードの保存と管理を担当します。
• より高度なアクセス ロックアウト手法を使用する -- 5 回連続して失敗した後に一時的なロックアウト(15分以上)を強制するか、ログインスロットルの失敗と組み合わせてログインの監視に時間を費やしたりすることは、パスワードだけに焦点を当てるよりもはるかに効果的です。

「CIS パスワード ポリシー ガイド」には、さらに詳しい推奨事項が記載されています。これには、次のようなものがあります。

• システム・ベースのパスワード作成を支援
• 役に立つポリシー
• 広範な参照

これらの推奨事項を適用することで、組織が現在利用可能なパスワード管理に関する最新の制御を実装できるようになります。

著作権© 2020

インターネット セキュリティセンター®



ーー以下原文ーー

Home • Resources • Blog • CIS Password Policy Guide: Passphrases, Monitoring, and More

Love them or hate them, but passwords have undeniably been a time-tested and imperfect method for user authentication that can protect organizations from cyber-attacks if used correctly. To be truly effective however, an organization's password policy must include additional defensive strategies to prevent unauthorized access.

New password policy standards are based on two primary principles: leveraging real-world attack data and making it easier for users to create and remember passwords.

Organizations need to employ updated tools and policies to conform to these new standards. These include new approaches to password creation, multi-factor authentication (MFA), account lockouts, and other safeguards.

The CIS Password Policy Guide released in July 2020 consolidates this new password guidance into a single source. This easy-to-follow guide not only provides best practices but explains the reasoning behind the recommendations. It includes information on the most common password hacking techniques, along with best practice recommendations to prevent attacks. The Guide was developed through the same community-driven, consensus-based process used to develop the CIS Benchmarks and CIS Controls.

To assist users with creating and remembering passwords, the Guide offers tips, some of which are:

• Use "passphrases" instead of passwords -- Length is the most important aspect of a good password. However a single long word is not only difficult to remember, it's also difficult to spell. A passphrase containing a number of words, such as CapeCodisaFunPlace, is both easier to remember and harder to crack.

• Don't use words related to your personal information -- Avoid things that attackers can look up about you on the internet. If you are the president of the local Mustang car club, you shouldn't use “Mustang” as a password.

• Limit using dictionary words: In general, the way adversaries attack passwords is by trying various combinations of words in the dictionary first. This is a lot of words, but a lot fewer than trying all the possible letter combinations. Use non-dictionary alternatives for passphrases, for example: Th3F0rdMust@ngis#1

The Guide also includes options for those responsible for managing password and access systems:

• Use Multi-Factor Authentication (MFA) -- MFA, sometimes referred to as Two-Factor Authentication (2FA), allows the user to present two, or more, pieces of evidence when logging in to an account. MFA is the most secure user authentication method available on the market today, and has minimal impact on usability.

• Offer Password Managers -- System generated passwords created by a password manager are much stronger than human-created passwords. Users will likely not remember the result however, which will look something like this: GHj*65%789JnF4$#$68IJHr54^78. So, the password manager takes care of the storage and management of that password for the user.
• Use more sophisticated access lockout techniques -- Enforcing temporary lockouts (15 minutes of more) after five consecutive failed attempts, or using time doubling login throttling techniques, combined with failed login monitoring can be much more effective than focusing solely on the password

There are many more detailed recommendations contained in the CIS Password Policy Guide. These include:

• System-based assists for password creation
• Helpful policies
• Extensive references

Applying these recommendations will ensure an organization implements the most up-to-date controls regarding password management available today.