サイバーニュース.jp

世界のサイバーなニュースを配信

NIS2準拠:パスワードと多要素認証を適切に管理する方法

カテゴリ:

はじめに

NIS2指令は、組織にサイバーセキュリティを真剣に検討するよう促しており、その中核にはアクセス管理の強化があります。本稿では、NIS2がIDおよびアクセス管理に何を意味するのか、そしてどのようにして効果的なロードマップを構築できるのかを解説します。

NIS2とは何か、そして誰が遵守する必要があるのか?

NIS2 (ネットワークおよび情報システムセキュリティ指令) は、2023年1月に元のNIS指令に代わって導入され、EU加盟国は2024年10月までにこれを国内法に転置することが義務付けられました。この指令は、エネルギー、輸送、銀行、医療、デジタルインフラ、行政サービスなど、18の重要セクターに属する中規模および大規模組織に適用されます。具体的には、従業員50名以上、または年間売上が1,000万ユーロを超える組織が対象となる可能性が高いです。

非遵守の場合の罰則は厳しく、必須エンティティには最大1,000万ユーロまたは世界年間売上高の2%の罰金が、重要エンティティには最大700万ユーロまたは1.4%の罰金が科せられます。

必須エンティティと重要エンティティ:その違い

  • 必須エンティティ: エネルギー、銀行、医療、デジタルインフラなどの高重要度セクター(付属書I)に属する大規模組織。これらは定期的な監査を含む積極的な監督の対象となり、より高額な罰金が科せられます。
  • 重要エンティティ: 郵便サービス、廃棄物管理、食品生産などのその他の重要セクター(付属書II)に属する組織。これらは不遵守が報告された後にのみ監視される事後監督の対象となり、罰金は必須エンティティよりも低く設定されています。

両カテゴリともに、同じサイバーセキュリティ要件を満たす必要があります。違いは監督の厳しさと罰金レベルにあります。

NIS2の下でIDおよびアクセス管理が重要な理由

NIS2は、IDおよびアクセス管理をコアセキュリティ対策として明確に位置付けています。第21条は、組織がアクセス制御に関するポリシーを実装することを要求しており、認証の弱さはもはや許容されないことを明確にしています。これは、脅威の状況を考慮すると理にかなっています。2024年Verizonデータ漏洩調査レポートによると、漏洩の80%に侵害された資格情報が関与していました。攻撃者が盗まれたパスワードで簡単に侵入できる場合、他のセキュリティ対策はほとんど意味をなしません。

適切なパスワードポリシーの確立

強力なパスワードポリシーは第一の防御線ですが、2026年に向けて「強力」とは具体的に何を意味するのでしょうか?

  • 複雑性よりも長さ: 「P@ssw0rd123!」のような複雑性を強制する古いモデルは時代遅れです。NISTガイドラインは、複雑性よりも長さを優先することを推奨しています。例えば、**「coffee-mountain-bicycle-sky」のような15文字以上のパスフレーズ**は、「Tr0ub4dor&3」よりも安全で覚えやすいです。
  • NIS2遵守のためのベースライン要件:
    • 最低15文字のパスワード長
    • 既知の侵害データベースに対してパスワードをスクリーニング
    • 一般的なパターンや辞書語をブロック
    • 重要なシステム間でのパスワード再利用を禁止
  • パスワードローテーションの問題: かつて標準だった60〜90日ごとの強制パスワードローテーションは推奨されなくなりました。強制ローテーションは、ユーザーが予測可能な変更を行ったり(「Password1」が「Password2」になるなど)、パスワードを書き留めたりする原因となります。現在のベストプラクティスは、**侵害の証拠がない限り、強制ローテーションをスキップすること**です。代わりに、侵害監視に投資し、資格情報が既知のデータ侵害に現れた際にユーザーにパスワードの変更を促すべきです。
  • パスワードセキュリティにおける人的要因: 技術的な制御は、ユーザーが実際にそれらを遵守できる場合にのみ機能します。ポリシーが厳しすぎて、人々が「password123」のような簡単なパスワードに頼ってしまうようでは、セキュリティは向上していません。

MFA:オプションから必須へ

NIS2は指令の本文で多要素認証(MFA)を明示的に義務付けていませんが、各国の実施法やENISAのガイダンスにより、**特権アクセスにはMFAが義務付けられ、重要なシステムにアクセスするすべてのユーザーにも強く推奨される**ことが明確になっています。この論理は簡単です。資格情報が侵害された場合でも、MFAは第二の障壁を作り出します。Microsoftの報告によると、**MFAはユーザーアカウントに対する自動攻撃の99.9%をブロック**します。しかし、すべてのMFA方法が同等ではありません。フィッシングやプロンプト爆撃に耐性のある要素を優先することが重要です。

NIS2遵守のためのロードマップ

認証制御をNIS2に合わせるための実用的なチェックリストを以下に示します。

  • ポリシー基盤:
    • 現在のパスワードポリシーを監査し、現代の基準に更新する
    • 長さと複雑性要件を強制するパスワード管理ソリューションを展開する
    • 特権アカウントに対する定期的なアクセスレビューを確立する
  • 資格情報ベースの攻撃防御:
    • Specops Password Policyのようなツールを使用して、数十億の侵害されたパスワードに対してADを継続的にスキャンする
    • 特権ユーザーから始めてフィッシング耐性のあるMFAを展開する
    • リスクに基づいて要件を調整する条件付きアクセスポリシーを有効にする
  • ユーザーの有効化:
    • 新しいパスワードポリシーを展開する際にベストプラクティスに従う
    • パスワードのベストプラクティス(パスフレーズ、パスワードマネージャー)についてユーザーをトレーニングする
    • 新しい要件の「なぜ」を伝え、ユーザーがリスクを理解することで遵守がより効果的に機能することを示す
  • 継続的な遵守運用:
    • 疑わしい活動がないか認証ログを監視する
    • ポリシーを四半期ごとにレビューおよび更新する
    • インシデント対応手順を毎年テストする
    • 監査のためにすべての情報を文書化する

適切なツールで実現する

NIS2の遵守は、市場に出回っているすべてのセキュリティ製品を購入することではありません。それは、チームに過度の負担をかけることなくセキュリティを向上させるスマートな選択をすることです。NIS2は、組織を実際に保護する認証制御を構築するためのフレームワークを提供します。パスワードポリシーから始め、フィッシング耐性のあるMFAを追加し、拡張性のあるプロセスを構築しましょう。NIS2遵守のサポートが必要な場合は、Specopsの専門家にご相談ください。

元記事: https://www.bleepingcomputer.com/news/security/nis2-compliance-how-to-get-passwords-and-mfa-right/

投稿をさらに読み込む