パスワードの定期的変更は不要(強制すべきではない)という話がありますが、PCIDSS要件では少なくとも90日以内でのパスワード変更が求められているかと思います。これは一見矛盾するように思うのですが、PCIDSSの要件は時代遅れなのでしょうか。それとも、エンドユーザー向けのパスワードの定期的変更の話とは別に、システム管理者向けのパスワードは定期的に変更することが合理的というような見解があるのでしょうか。

Profile Photo

徳丸 浩

徳丸本の中の人 EGセキュアソリューションズ取締役CTO IPA非常勤職員 YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 https://www.youtube.com/@websecstudy

まずはPCI DSSの公式見解を紹介します。PCI DSS実務に関するFAQは以下のページから検索することができます。

https://www.pcisecuritystandards.org/faqs/

FAQs

A global forum that brings together payments industry stakeholders to develop and drive adoption of data security standards and resources for safe payments.

www.pcisecuritystandards.org

ここから検索すると、ドンピシャのFAQがあります。

https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/can-organizations-use-alternative-password-management-methods-to-meet-pci-dss-requirement-8-2/

Frequently Asked Question

A global forum that brings together payments industry stakeholders to develop and drive adoption of data security standards and resources for safe payments.

www.pcisecuritystandards.org

タイトルは、Can organizations use alternative password management methods to meet PCI DSS Requirement 8? となっています。

参考訳: 組織は代替のパスワード管理方法を使用して PCI DSS 要件 8 を満たすことができますか?

以下、ポイントを紹介しますが、

PCI DSS allows organizations to implement alternative controls than those defined in the standard, as long as the intent of the PCI DSS requirements is met. When considering alternative methods, it is important not to view individual recommendations in isolation but to take all the recommendations as a complete set of controls.

参考訳:

PCI DSS では、PCI DSS 要件の意図が満たされている限り、組織が基準で定義されている以外の管理策を実装することを認めています。代替方法を検討するときは、個々の推奨事項を切り離して見るのではなく、すべての推奨事項を完全な 管理 セットとして捉えることが重要です。

そして、以下に続きます。

For example, when considering the alternative controls described in NIST Special Publication 800-63B, the exclusion of periodic password changes without implementing additional compensating controls would not meet the intent of either the NIST Special Publication or PCI DSS.

参考訳:

たとえば、NIST Special Publication 800-63B に記載されている代替管理策を検討する場合、追加の代償 管理策を実装せずに定期的なパスワード変更を除外することは、NIST Special Publication または PCI DSS のいずれの意図にも合致しません。

まぁ、これはもっともな主張ではあります。

また、PCI DSSの3.2.1までは、以下のようになっていましたが(日本語版からの引用)

8.2.4ユーザパスワード/パスフレーズは、少なくとも1回は90日ごと変更する。

この項目は、4.0版では以下のように変わりました。

8.3.9 パスワード/パスフレーズが、ユーザアクセスのための唯一の認証要素として使用される場合(すなわち、一要素認証の実装において)、以下のいずれかが行われる。

• パスワード/パスフレーズが少なくとも90日に1回変更されていること。

または

• アカウントのセキュリティ状態を動的に分析し、それに応じてリソースへのリアルタイムアクセスを自動的に決定します。

ということで、90日以内のパスワード変更をしなくても、PCI DSSの基準は満たせるということですね。

また、現実には、90日以内のパスワード変更を求めているサイトは、私はあまり見たことがありません。日本の割賦販売法の運用では、カード会社(イシュア)はPCI DSS準拠を求められていますが、私の知る限りイシュアのサイトでは定期的なパスワード変更は求められません(定期的なパスワード変更を求めているサイトをご存知の方は教えて下さい)。なので、前述の方法により、パスワードの定期的変更は回避しているのでしょう。

また、以下のご質問ですが、

システム管理者向けのパスワードは定期的に変更することが合理的というような見解があるのでしょうか。

これについては、以下のブログ記事に書いております。

https://ockeghem.hatenablog.jp/entry/20120201

「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem's blog

昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたいA1:専門家の見解は分かれているとお答えしました現在の主流はパスワードを定期的に変更するべしという考え方ですが、それに異論を持つ人もいて、私もその一人です。 一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります…

ockeghem.hatenablog.jp

ポイントの箇所を引用します。

一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります。その状況では、「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです。そうしないと、「管理者でなくなった人が管理者パスワードを知っている」という状況が起きます。

管理者パスワードを定期的に変更するというのは、上記運用ができない(したくない)場合の代替策ととらえることができます。この場合、一定期間「管理者でない人が管理者パスワードを知っている」状態があり得ます。本来避けなければならない状況であり、積極的にそうする必然性はありません。
rootログインやsuコマンドを使っていると、管理者業務をする人にrootパスワードを教えなければなりません。一方、sudoコマンドを使って管理者業務をすると、rootパスワードを教えなくてもすむので、rootパスワードを変更する頻度を少なくすることができます。また、誰が、いつ、どのrootコマンドを実行したかというログも取得できるので、管理レベルが向上する点でおすすめです。

上記は、2012年2月の記事ですが、現在の目で見ても、修正の必要はないと思います。

3か月3か月更新

利用規約プライバシーポリシーに同意の上ご利用ください

徳丸 浩さんの過去の回答
    Loading...