Microsoft Entra ID を使用した NIST Authenticator Assurance Level 2
National Institute of Standards and Technology (NIST) は、ID ソリューションを実装する米国政府機関の技術面の要件の策定を行っています。 連邦政府機関と協力している組織は、これらの要件を満たしている必要があります。
Authenticator Assurance Level 2 (AAL2) を開始する前に、次のリソースを参照できます。
- NIST の概要: AAL レベルについて説明します
- 認証の基本: 用語と認証の種類
- NIST Authenticator の種類: Authenticator の種類
- NIST AAL: AAL コンポーネントと Microsoft Entra 認証方法
許可される AAL2 Authenticator の種類
次の表に、AAL2 で許可される Authenticator の種類を示します。
| Microsoft Entra の認証方法 | NIST Authenticator の種類 |
|---|---|
| 推奨される方法 | |
| 多要素ソフトウェア証明書 (PIN で保護) Windows Hello for Business (ソフトウェア トラステッド プラットフォーム モジュール (TPM) を使用) |
多要素の暗号化ソフトウェア |
| ハードウェアで保護された証明書 (スマートカード/セキュリティ キー/TPM) FIDO 2 セキュリティ キー Windows Hello for Business (ハードウェア TPM を使用) |
多要素の暗号化ハードウェア |
| Microsoft Authenticator アプリ (パスワードレス) | 多要素帯域外 |
| 他の方法 | |
| パスワード AND - Microsoft Authenticator アプリ (プッシュ通知) - OR - Microsoft Authenticator Lite (プッシュ通知) - OR - 電話 (SMS) |
記憶シークレット AND 単一要素帯域外 |
| パスワード AND - OATH ハードウェア トークン (プレビュー) - OR - Microsoft Authenticator アプリ (OTP) - OR - Microsoft Authenticator Lite (OTP) - OR OATH ソフトウェア トークン |
記憶シークレット AND 単一要素 OTP |
| パスワード AND - 単一要素ソフトウェア証明書 - OR - Microsoft Entra とソフトウェア TPM の結合 - OR - Microsoft Entra ハイブリッドとソフトウェア TPM の結合 - OR - 準拠モバイル デバイス |
記憶シークレット AND 単一要素暗号化ソフトウェア |
| パスワード AND - Microsoft Entra とハードウェア TPM の結合 - OR - Microsoft Entra ハイブリッドとハードウェア TPM の結合 |
記憶シークレット AND 単一要素暗号化ハードウェア |
注意
現在、Microsoft Authenticator 自体はフィッシングに強くはありません。 Microsoft Authenticator を使用する際に外部からのフィッシング詐欺の脅威から保護するには、マネージド デバイスを必要とする条件付きアクセス ポリシーを追加で構成する必要があります。
AAL2 の推奨事項
AAL2 では、多要素暗号化ハードウェアまたはソフトウェア認証子を使用します。 パスワードレス認証を使用すると、最大の攻撃面であるパスワードを排除して、ユーザーに効率的な認証方法を提供することができます。
パスワードレス認証方法の選択に関するガイダンスについては、「Microsoft Entra ID でパスワードレス認証のデプロイを計画する」を参照してください。 「Windows Hello for Business の展開ガイド」も参照してください
FIPS 140 検証
FIPS 140 検証については、次のセクションを参照してください。
検証の要件
Microsoft Entra ID では、認証暗号化操作に、Windows FIPS 140 レベル 1 (総合的) の検証済み暗号モジュールが使用されています。 したがって、これは、政府機関が必要としている FIPS 140 に準拠した検証です。
Authenticator の要件
政府機関の暗号化認証システムは、FIPS 140 レベル 1 (総合的) で検証されます。 これは、非政府機関には必要ありません。 次の Microsoft Entra 認証子は、FIPS 140 承認済みモードの Windows 上で実行されている場合の要件を満たしています。
パスワード
ソフトウェアまたはハードウェア TPM を使用して参加した Microsoft Entra
ソフトウェアまたはハードウェア TPM を使用して参加した Microsoft Entra ハイブリッド
ソフトウェアまたはハードウェア TPM を使用した Windows Hello for Business
ソフトウェアまたはハードウェア (スマートカード/セキュリティ キー/TPM) に格納されている証明書
iOS と Android の両方の Microsoft Authenticator アプリは FIPS 140 に準拠しています。 Microsoft Authenticator で使用される FIPS 検証済み暗号化モジュールの詳細について。 「Microsoft Authenticator アプリ」を参照してください
OATH ハードウェア トークンとスマートカードについては、ご自身のプロバイダーに現在の FIPS 検証状態についてお問い合わせいただくことをお勧めします。
FIDO 2 セキュリティ キー プロバイダーは、FIPS 認定のさまざまな段階にあります。 サポートされている FIDO 2 の主要ベンダーの一覧を確認することをお勧めします。 現在の FIPS 検証の状態については、プロバイダーに問い合わせてください。
再認証
AAL2 では、NIST はユーザーの利用状況に関係なく、12 時間ごとに再認証を必要とします。 再認証は、非アクティブな状態が 30 分以上続いた後に必要になります。 セッション シークレットはユーザーが所有しているものなので、ユーザーが知っているものまたはユーザー自身の提示が必要です。
ユーザーの利用状況に関係なく再認証の要件を満たすために、Microsoft ではユーザーのサインイン頻度を 12 時間に構成することをお勧めします。
NIST では、補正コントロールを使用して、サブスクライバーの存在を確認できます。
セッションの無通信のタイムアウトを 30 分に設定する: Microsoft System Center Configuration Manager、グループ ポリシー オブジェクト (GPO)、または Intune を使用して、オペレーティング システム レベルでデバイスをロックします。 サブスクライバーがロックを解除するには、ローカル認証が必要です。
利用状況に関係なくタイムアウトする: スケジュール化されたタスクを実行して (Configuration Manager、GPO、または Intune)、利用状況に関係なく 12 時間後にマシンをロックします。
中間者への耐性
認証要求者と Microsoft Entra ID の間の通信は、認証済みの保護されたチャネルを介して行われます。 この構成は、中間者 (MitM) 攻撃に対する耐性を提供し、AAL1、AAL2、AAL3 の MitM 耐性要件を満たしています。
リプレイへの耐性
AAL2 の Microsoft Entra 認証方法では、nonce またはチャレンジが使用されます。 これらの方法は、再生された認証トランザクションを検証者が検出するため、リプレイ攻撃に対する耐性があります。 このようなトランザクションには、必要な nonce や適時性のデータが含まれていません。
次のステップ
Microsoft Entra ID を使用して NIST AAL1 を実現する