総務省は、12月18日付で、頻発するパスワードリスト攻撃に対して、サーバー管理者としてどのような対策が取れるかの方法を取りまとめた文書「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」を公表しました。
この文書は、総務省の「情報セキュリティアドバイザリーボード」のワーキンググループでの議論を踏まえて作成したもので、かなり実用的な対策が網羅されており、参考になります。
<攻撃を予防する対策>
ID・パスワードの使い回しに関する注意喚起の実施
パスワードの有効期間設定
パスワードの履歴の保存
二要素認証の導入
ID・パスワードの適切な保存
休眠アカウントの廃止
推測が容易なパスワードの利用拒否
<攻撃による被害の拡大を防ぐ対策>
アカウントロックアウト
特定のIPアドレスからの通信の遮断
普段とは異なるIPアドレスからの通信の遮断
ログイン履歴の表示
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html
(私のコメント)
セキュリティ界の著名人が集まって知恵を出し合っただけあり、この資料はよく出来ています。しかし、これだけの対策を個別のサーバーで行うのも実際には難しそうです。今後は個別のサーバーでID・パスワードを管理して認証するのではなく、GoogleやFacebookなどの外部認証システムを利用することがもっと広まっていくのではないかと思います。
メンバー募集
オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報
興味がある方、ぜひこちらからご連絡ください!
