アカウントロックアウト
アカウントロックアウト とは何ですか?
アカウントロックアウト連続失敗回数が設定された閾値を超えた場合に、ログイン試行を一時的または恒久的にブロックし、オンラインでのパスワード推測攻撃を遅延させる制御。
アカウントロックアウトは、認証失敗が一定数を超えた時点でアカウントを無効化し、オンラインのブルートフォースやパスワードスプレー攻撃のコストを上げます。Active Directory、Entra ID、Okta などの多くのプラットフォームは、最大試行回数、観測ウィンドウ、ロックアウト期間という 3 つのパラメータを提供します(例:10 分間に 10 回失敗で 30 分ロック)。NIST SP 800-63B は、攻撃者にサービス拒否を引き起こされる可能性があるため、過度なロックよりもレート制限と賢いスロットリングを推奨しています。最新の実装は段階的な遅延、送信元 IP のスロットリング、CAPTCHA、Microsoft Smart Lockout のようなリスクシグナルを組み合わせ、攻撃元のみを遮断します。
● 例
- 01
Microsoft Entra ID Smart Lockout が 10 回の失敗で攻撃者 IP のみを遮断し、別ネットワークの正規ユーザーはログインできる例。
- 02
5 回 PIN を間違えると 30 分間アクセスをロックするオンラインバンキング。
● よくある質問
アカウントロックアウト とは何ですか?
連続失敗回数が設定された閾値を超えた場合に、ログイン試行を一時的または恒久的にブロックし、オンラインでのパスワード推測攻撃を遅延させる制御。 サイバーセキュリティの ID とアクセス カテゴリに属します。
アカウントロックアウト とはどういう意味ですか?
連続失敗回数が設定された閾値を超えた場合に、ログイン試行を一時的または恒久的にブロックし、オンラインでのパスワード推測攻撃を遅延させる制御。
アカウントロックアウト はどのように機能しますか?
アカウントロックアウトは、認証失敗が一定数を超えた時点でアカウントを無効化し、オンラインのブルートフォースやパスワードスプレー攻撃のコストを上げます。Active Directory、Entra ID、Okta などの多くのプラットフォームは、最大試行回数、観測ウィンドウ、ロックアウト期間という 3 つのパラメータを提供します(例:10 分間に 10 回失敗で 30 分ロック)。NIST SP 800-63B は、攻撃者にサービス拒否を引き起こされる可能性があるため、過度なロックよりもレート制限と賢いスロットリングを推奨しています。最新の実装は段階的な遅延、送信元 IP のスロットリング、CAPTCHA、Microsoft Smart Lockout のようなリスクシグナルを組み合わせ、攻撃元のみを遮断します。
アカウントロックアウト からどのように防御しますか?
アカウントロックアウト に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
アカウントロックアウト の別名は何ですか?
一般的な別名: ロックアウトポリシー, ログインロック。
● 関連用語
- identity-access№ 795
パスワード
利用者がシステムに対して身元を証明するために提示する秘密の文字列。伝統的に単一要素認証の主流。
- identity-access№ 798
パスワードポリシー
ユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。
- attacks№ 232
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
- attacks№ 800
パスワードスプレー攻撃
少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。
- identity-access№ 940
リスクベース認証 (RBA)
サインインごとにリアルタイムでリスクスコアを算出し、許可・追加認証・拒否といった応答を切り替える認証戦略。
- identity-access№ 708
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。