Microsoft Entra ID を使用した NIST Authenticator Assurance Level 3
米国国立標準技術研究所 (NIST) Authenticator Assurance Level 3 (AAL3) については、この記事の情報を参照してください。
AAL2 を取得する前に、次のリソースを確認できます。
- NIST の概要: AAL レベルについて説明します
- 認証の基本: 用語と認証の種類
- NIST Authenticator の種類: Authenticator の種類
- NIST AAL: AAL コンポーネントと Microsoft Entra 認証方法
許可される Authenticator の種類
Microsoft の認証方法を使用して、必要な NIST Authenticator の種類に対応します。
| Microsoft Entra 認証方法 | NIST 認証システムの種類 |
|---|---|
| 推奨される方法 | |
| ハードウェアで保護された証明書 (スマートカード/セキュリティ キー/TPM) FIDO 2 セキュリティ キー Windows Hello for Business (ハードウェア TPM を使用) |
多要素暗号化ハードウェア |
| 他の方法 | |
| Password AND - Microsoft Entra とハードウェア TPM の結合 - OR - ハードウェア TPM を使用して参加した Microsoft Entra ハイブリッド |
記憶シークレット AND 単一要素暗号化ハードウェア |
| Password AND OATH ハードウェア トークン (プレビュー) AND - 単一要素ソフトウェア証明書 - OR - ソフトウェア TPM を使用して参加した Microsoft Entra ハイブリッド デバイスまたはソフトウェア TPM を使用した準拠デバイス |
記憶シークレット AND 単一要素 OTP ハードウェア AND 単一要素暗号化ソフトウェア |
Recommendations
AAL3 では、パスワードレス認証を提供する多要素暗号化ハードウェア認証システムを使用して、最大の攻撃対象領域であるパスワードを削除することをお勧めします。
ガイダンスについては、「Microsoft Entra ID でのパスワードレス認証のデプロイを計画する」を参照してください。 「Windows Hello for Business の展開ガイド」も参照してください。
FIPS 140 検証
検証の要件
Microsoft Entra ID では、認証暗号化操作に、Windows FIPS 140 レベル 1 (総合的) の検証が行われた暗号モジュールが使用されているため、Microsoft Entra ID は準拠した検証ツールです。
認証システムの要件
単一要素と多要素の暗号化ハードウェア認証システム要件。
単一要素暗号化ハードウェア
認証システムの要件は次のとおりです。
FIPS 140 レベル 1 (総合的) またはそれ以上
FIPS 140 レベル 3 の物理的なセキュリティまたはそれ以上
Microsoft Entra 参加済みデバイスと Microsoft Entra ハイブリッド参加済みデバイスは、次の場合にこの要件を満たします。
FIPS-140 承認済みモードで Windows を実行している
TPM が FIPS 140 レベル 1 (総合的) またはそれ以上で、FIPS 140 レベル 3 の物理的なセキュリティを備えたマシン
- 準拠している TPM は、暗号化モジュール検証プログラムでトラステッド プラットフォーム モジュールと TPM を検索して見つけてください。
FIPS 140 の準拠については、モバイル デバイスのベンダーに問い合わせてください。
多要素暗号化ハードウェア
認証システムの要件は次のとおりです。
FIPS 140 レベル 2 (総合的) またはそれ以上
FIPS 140 レベル 3 の物理的なセキュリティまたはそれ以上
FIDO 2 セキュリティ キー、スマート カード、Windows Hello for Business は、これらの要件を満たすのに役立ちます。
FIDO2 キー プロバイダーは FIPS 認定に含まれています。 サポートされている FIDO2 の主要ベンダーの一覧を確認することをお勧めします。 現在の FIPS 検証の状態については、プロバイダーに問い合わせてください。
スマート カードは、実績のあるテクノロジです。 複数のベンダー製品が FIPS 要件を満たしています。
- 詳細については、「暗号化モジュール検証プログラム」を参照してください
Windows Hello for Business
FIPS 140 では、ソフトウェア、ファームウェア、ハードウェアを含む暗号境界を評価の対象にすることを求めています。 Windows オペレーティング システムは、これらの何千もの組み合わせとペアにすることができます。 そのため、Microsoft が FIPS 140 セキュリティ レベル 2 でWindows Hello for Business を検証することはできません。 連邦のお客様は、このサービスを AAL3 として受け入れる前に、リスク評価を実施し、リスクの容認の一環として次の各コンポーネント認定を評価する必要があります。
Windows 10 および Windows Server では、National Information Assurance Partnership (NIAP) の US Government Approved Protection Profile for General Purpose Operating Systems バージョン 4.2.1 を使用します。 この組織は、民生 (COTS) 情報技術製品が国際コモン クライテリアに準拠しているかを評価する国内プログラムを監督しています。
Windows 暗号化ライブラリは、NIST とカナダ サイバー セキュリティ センターの共同作業である NIST 暗号化モジュール検証プログラム (CMVP) の FIPS レベル 1 (総合的) を達成しています。 この組織では、FIPS 標準に対して暗号化モジュールを検証します。
FIPS 140 レベル 2 (総合的)、および FIPS 140 レベル 3 の物理的なセキュリティであるトラステッド プラットフォーム モジュール (TPM) を選択してください。 組織は、ハードウェア TPM が必要な AAL レベルの要件を満たしていることを確認します。
現在の標準を満たす TPM を確認するには、NIST コンピューター セキュリティ リソース センターの暗号化モジュール検証プログラムに関するページを参照してください。 標準を満たすハードウェア TPM の一覧については、[モジュール名] ボックスに「Trusted Platform Module」と入力します。
再認証
AAL3 では、NIST はユーザーの利用状況に関係なく、12 時間ごとに再認証を必要とします。 再認証は、非アクティブな状態が 15 分以上続いた後に必要になります。 両方の要素の提示が必要です。
ユーザーの利用状況に関係なく再認証の要件を満たすために、Microsoft ではユーザーのサインイン頻度を 12 時間に構成することをお勧めします。
NIST により、サブスクライバーの存在を確認するための補正制御が可能になります。
セッションの非アクティブ状態によるタイムアウトを 15 分に設定する: Microsoft Configuration Manager、グループ ポリシー オブジェクト (GPO)、または Intune を使用して、OS レベルでデバイスをロックします。 サブスクライバーがロックを解除するには、ローカル認証が必要です。
Configuration Manager、GPO、または Intune を使用してスケジュール化されたタスクを実行し、利用状況に関係なくタイムアウトを設定します。 利用状況に関係なく、12 時間後にマシンをロックします。
中間者への耐性
中間者 (MitM) 攻撃への耐性を実現するために、認証要求者と Microsoft Entra ID の間の通信は認証済みの保護されたチャネルを介して実行されます。 この構成は、AAL1、AAL2、および AAL3 の MitM 耐性要件を満たしています。
検証者の偽装耐性
AAL3 を満たしている Microsoft Entra 認証方法では、認証されているセッションに認証システムの出力をバインドする暗号化認証システムを使用します。 これらの方法では、認証要求者によって制御される秘密キーを使用します。 公開キーは検証者に認識されます。 この構成は、AAL3 の検証者の偽装耐性要件を満たします。
検証者の侵害耐性
AAL3 を満たすすべての Microsoft Entra 認証方法:
- 暗号認証システムによって保持されている秘密キーに対応する公開キーを検証者が格納することを求める認証システムを使用します
- FIPS-140 検証済みハッシュ アルゴリズムを使用して、予期される認証システムの出力を格納します
詳細については、Microsoft Entra データのセキュリティに関する考慮事項に関するファイルを参照してください。
リプレイへの耐性
AAL3 を満たしている Microsoft Entra 認証方法では、nonce またはチャレンジを使用します。 これらの方法は、再生された認証トランザクションを検証者が検出できるため、再生攻撃に対する耐性があります。 このようなトランザクションには、必要な nonce や適時性のデータが含まれていません。
認証意図
認証意図を要求することで、多要素暗号化ハードウェアなど、直接接続された物理認証システムを、(エンドポイントのマルウェアなどによって) 利用者の知らないうちに使用されることがより困難になります。 AAL3 を満たす Microsoft Entra 方法では、認証意図を示すピンまたは生体認証によるユーザー入力が必要です。