A.8.5 セキュリティを保った認証
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.5 |
| 分類 | 技術的管理策 |
セキュリティを保った認証技術及び手順は、情報へのアクセス制限及びアクセス制御に関するトピック固有の方針に基づいて実施しなければならない。
利用者、エンティティ又はデバイスが、アクセスを要求しているものであることを確実にするため。
実施の手引き
Section titled “実施の手引き”セキュリティを保った認証には、以下を含める必要がある。
- 適切な認証方式の選択
- 多要素認証の実装
- 認証情報の保護
- 認証失敗への対応
| 要素 | 説明 | 例 |
|---|---|---|
| 知識要素 | 知っているもの | パスワード、PIN |
| 所持要素 | 持っているもの | スマートカード、トークン |
| 生体要素 | 本人固有のもの | 指紋、顔認証 |
| 方式 | セキュリティレベル | 適用場面 |
|---|---|---|
| パスワード | 低〜中 | 一般システム |
| 多要素認証 | 高 | 重要システム |
| 生体認証 | 高 | 高セキュリティ |
| 証明書認証 | 高 | システム間認証 |
| 対策 | 内容 |
|---|---|
| パスワードポリシー | 複雑性、有効期間 |
| アカウントロック | 連続失敗時のロック |
| セッション管理 | タイムアウト、同時ログイン制限 |
| 監視 | 認証ログの監視 |
当社における実施状況
Section titled “当社における実施状況”当社では、各サービスの認証機能を利用し、強固なパスワードの設定を義務付けている。Microsoft Entra IDを中心としたシングルサインオンを活用している。
-
- アクセス制御及び認証