EUのNIS2指令は、組織にサイバーセキュリティを真剣に捉えることを求めており、そのためにはアクセス管理の方法を綿密に見直す必要があります。NIS2の対象となる企業でセキュリティを担当しているなら、「パスワードと認証について、具体的に何をすべきなのか?」と考えているはずです。
NIS2がアイデンティティおよびアクセス制御に何を求めているのか、そして実際に機能する現実的なロードマップをどう作るかを整理していきましょう。
NIS2とは何か、誰が準拠しなければならないのか?
NIS2(ネットワークおよび情報セキュリティ指令)は、2023年1月に従来のNIS指令に置き換わり、EU加盟国は2024年10月までに国内法へ移行(法制化)することが求められました。本指令は、エネルギー、運輸、銀行、医療、デジタルインフラ、公共行政などを含む18の重要セクターにおける中規模・大規模組織に適用されます。
これらのセクターで従業員が50人以上、または年間売上が1,000万ユーロを超える場合、準拠が必要となる可能性が高いです。非準拠に対する罰則は厳しく、必須(Essential)事業体は最大1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方、重要(Important)事業体は最大700万ユーロまたは売上高の1.4%の制裁金が科され得ます。
必須(Essential)と重要(Important):事業体区分の説明
NIS2は組織を2つのカテゴリに分類します:
- 必須(Essential)事業体: エネルギー、銀行、医療、デジタルインフラなど、重要度の高いセクター(附属書I)に属する大規模組織。これらは、定期監査を含む事前(プロアクティブ)監督の対象となり、制裁金は最大1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方です。
- 重要(Important)事業体: 郵便サービス、廃棄物管理、食品生産など、その他の重要セクター(附属書II)に属する組織。これらは事後(エクスポスト)監督(非準拠が報告された後にのみ監視)となり、制裁金は最大700万ユーロまたは全世界年間売上高の1.4%です。
どちらのカテゴリも、同じサイバーセキュリティ要件を満たす必要があります。違いは監督の強度と罰則レベルにあります。
NIS2の下でアイデンティティとアクセス制御が重要な理由
NIS2は、アイデンティティおよびアクセス管理を中核的なセキュリティ対策として明確に挙げています。第21条は、組織にアクセス制御に関する方針の実装を求めており、弱い認証がもはや許容されないことを示しています。
これは脅威環境を考えれば当然です。2024年版 Verizonデータ侵害調査報告書によると、侵害の80%において漏えいした認証情報が関与していました。攻撃者が盗まれたパスワードで正面玄関から入れてしまうなら、他のセキュリティ対策はあまり意味を持ちません。
パスワードポリシーを正しく整備する
強固なパスワードポリシーは最初の防衛線ですが、2026年に向けて「強固」とは具体的に何を意味するのでしょうか?
複雑さ vs. 長さ
ユーザーに「P@ssw0rd123!」のようなパスワードを強制する古いモデルは時代遅れです。NISTガイドラインは現在、複雑さよりも長さを優先することを推奨しています。「coffee-mountain-bicycle-sky」のような15文字のパスフレーズは、「Tr0ub4dor&3.」よりも安全で、かつ覚えやすいのです。
NIS2準拠のために、次のベースライン要件を実装してください:
- パスワードの最小長を15文字にする
- 既知の漏えいデータベースに照らしてパスワードをチェックする
- 一般的なパターンや辞書語をブロックする
- 重要システム間でのパスワード再利用を禁止する
パスワードローテーションの問題
60〜90日ごとの強制的なパスワード変更は、かつて標準的な運用でした。しかし今は違います。強制ローテーションは、ユーザーに予測可能な変更(「Password1」を「Password2」にするなど)を促したり、パスワードをメモさせたりします。
現在のベストプラクティスは、侵害の証拠がない限り強制ローテーションを行わないことです。代わりに、侵害監視に投資し、認証情報が既知のデータ侵害に含まれていることが判明した場合に、速やかにパスワード変更を促してください。
パスワードセキュリティにおける人的要因
技術的な制御は、ユーザーが実際に守れる場合にのみ機能します。ポリシーが厳しすぎて、人々が「password123」を少し変えただけのものに頼るようなら、セキュリティは向上していません。単にチェックボックスを埋めただけです。
MFA:任意から必須へ
NIS2は指令本文で多要素認証を明示的に義務付けてはいませんが、各国での実装およびENISAのガイダンスは明確に示しています。特権アクセスにはMFAが想定されており、重要システムにアクセスするすべてのユーザーに強く推奨されます。
理屈は単純です。たとえ認証情報が漏えいしても、MFAが第2の障壁になります。Microsoftは、MFAがユーザーアカウントへの自動化攻撃の99.9%をブロックすると報告しています。ただし、すべてのMFA方式が同等ではありません。フィッシングやプロンプト爆撃に強い要素を優先することが重要です。
NIS2準拠のロードマップ
認証制御をNIS2に整合させるための実践的なチェックリストは次のとおりです:
ポリシーの基盤
- 現在のパスワードポリシーを監査し(無料の読み取り専用ツールSpecops Password Auditorをお試しください)、最新の標準に更新する
- 長さと複雑さの要件を強制できるパスワード管理ソリューションを導入する
- 特権アカウントに対する定期的なアクセスレビューを確立する
認証情報ベースの攻撃への防御
- Specops Password Policyのようなツールを使用し、数十億件の一意な漏えいパスワードに照らしてADを継続的にスキャンする
- 特権ユーザーから優先して、フィッシング耐性のあるMFAを展開する
- リスクに応じて要件を調整する条件付きアクセス(Conditional Access)ポリシーを有効化する
ユーザーの実行支援
- 新しいパスワードポリシーを展開する際はベストプラクティスに従う
- パスワードのベストプラクティス(パスフレーズ、パスワードマネージャー)についてユーザーを教育する
- 新要件の背景にある「なぜ」を伝える。ユーザーがリスクを理解している方が、コンプライアンスはうまく機能する
継続的な準拠運用
- 認証ログを監視し、不審な活動を検知する
- ポリシーを四半期ごとに見直し、更新する
- インシデント対応手順を年1回テストする
- 監査に備えて、すべてを文書化する
適切なツールで実現する
NIS2準拠とは、市場にあるセキュリティ製品を片っ端から購入することではありません。チームを疲弊させることなくセキュリティを向上させる、賢い選択をすることです。NIS2は、組織を実際に守る認証制御を構築するための枠組みを提供します。パスワードポリシーから始め、フィッシング耐性のあるMFAを追加し、拡張可能なプロセスを構築しましょう。
NIS2準拠の達成に向けた支援が必要ですか? 固有の課題への対応方法について、Specopsの専門家にご相談ください。
翻訳元: https://www.bleepingcomputer.com/news/security/nis2-compliance-how-to-get-passwords-and-mfa-right/
