アカウントロックアウト あかうんとろっくあうと
簡単に言うとこんな感じ!
パスワードを何度も間違えると「もう試せないよ!」とアカウントをロックする仕組みだよ。銀行のATMで暗証番号を3回間違えるとカードが使えなくなるのと同じ発想なんだ。不正ログインを試みる攻撃者を途中で止めるセキュリティの第一防衛線ってこと!
アカウントロックアウトとは
アカウントロックアウトとは、ログイン時に一定回数以上パスワードを誤入力した場合に、そのアカウントへのアクセスを一時的または恒久的に遮断するセキュリティ機能です。攻撃者がパスワードを片っ端から試す「ブルートフォース攻撃(総当たり攻撃)」や、よく使われるパスワードを順番に試す「パスワードスプレー攻撃」を防ぐことが主な目的です。
たとえば「5回連続で間違えたら30分ロック」というポリシーを設定しておくと、攻撃者は数回試すだけで手詰まりになります。一方で、正規のユーザーが間違えてロックされてしまう「誤検知(フォールスポジティブ)」が業務を止めるリスクにもなるため、ロック回数・ロック時間のバランス設定が実務では重要です。
企業のActive Directory(社内の認証管理サーバー)やクラウドサービスのアイデンティティ基盤(Azure ADなど)では、このポリシーを組織全体に一括適用できます。システムを発注・選定する立場であれば、「ロックアウトポリシーが設定できるか」は認証機能の要件チェックリストに必ず入れておきたい項目です。
アカウントロックアウトの仕組みと設定項目
ロックアウトは、主に以下の3つのパラメーターで動作します。
| 設定項目 | 英語名 | 説明 | 一般的な設定例 |
|---|---|---|---|
| ロックアウトしきい値 | Lockout Threshold | 何回間違えたらロックするか | 5〜10回 |
| ロックアウト期間 | Lockout Duration | ロックを自動解除するまでの時間 | 15〜30分 |
| カウンターリセット時間 | Observation Window | 失敗カウントをリセットするまでの時間 | 15〜30分 |
覚え方:「何回・何分・何分」の3点セット
設定項目が3つあることを「何回間違えたら、何分ロック、何分でカウントリセット」と覚えると現場でポリシーを議論するときに迷いません。発注仕様書や要件定義書にもこの3点を明記すると、ベンダーとの認識齟齬を防げます。
ロックアウトの種類
| 種類 | 内容 | メリット | デメリット |
|---|---|---|---|
| 時間制限ロック | 一定時間後に自動解除 | ユーザーが自力で回復できる | 攻撃者も時間待ちで再試行できる |
| 永久ロック(手動解除) | 管理者が明示的に解除 | 攻撃を確実に遮断 | ヘルプデスク工数が増大 |
| IPアドレスブロック | 攻撃元IPを遮断 | アカウント単位でなくIP単位で防御 | VPN・共有IPでは誤検知リスク |
歴史と背景
- 1970年代〜 — メインフレーム時代からパスワード認証は存在していたが、ロックアウト機能は限定的だった
- 1990年代 — Windowsドメイン環境(Windows NT)が普及し、企業でアカウントポリシーを一元管理する需要が高まる
- 2000年代 — SOX法・個人情報保護法などコンプライアンス規制の強化により、ロックアウトポリシーの設定が監査項目として明記されるようになる
- 2010年代 — クラウドサービス普及とともに、パスワードスプレー攻撃(多数のアカウントに対して少ない試行で実施する攻撃)が急増。従来のロックアウトでは検知が難しい新しい課題が浮上
- 2010年代後半〜現在 — MFA(多要素認証)との組み合わせが標準化。NIST SP 800-63Bなどのガイドラインでもロックアウトポリシーの推奨値が示される
- 2020年代 — ゼロトラストセキュリティの概念普及により、ロックアウトだけでなくリスクベース認証(ふだんと違う場所からのログインを検知する仕組み)との併用が主流に
関連する攻撃手法・対策技術との比較
アカウントロックアウトは「認証を守る手段」の一つです。どんな攻撃に有効で、どんな場合は別の対策が必要かを整理します。
| 攻撃手法 | 概要 | ロックアウトの効果 | 追加で必要な対策 |
|---|---|---|---|
| ブルートフォース攻撃 | 全パターンを総当たり | ◎ 高い効果 | — |
| 辞書攻撃 | よく使われる単語リストで試行 | ◎ 高い効果 | 強度の高いパスワードポリシー |
| パスワードスプレー攻撃 | 多数アカウントに少ない試行 | △ 検知が困難 | リスクベース認証・MFA |
| クレデンシャルスタッフィング | 流出済みID/PWを使い回し | △ 1回で成功するため無効なことも | MFA・パスワードマネージャー |
| フィッシング | 偽サイトで直接認証情報を詐取 | ✕ 効果なし | セキュリティ教育・MFA |
ロックアウトの「副作用」:DoS(サービス妨害)リスク
注意点として、ロックアウト機能自体が攻撃の手段になるケースがあります。攻撃者が意図的に特定ユーザーのアカウントをロックさせることで、そのユーザーを業務から締め出す「アカウントロックアウト攻撃( DoS 攻撃の一種)」です。特に役員や管理者アカウントを狙われると影響が大きいため、ロック閾値を高めに設定したり、対象アカウントを分けて管理したりする工夫が必要です。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| NIST SP 800-63B | 認証器・パスワードポリシーのガイドライン。ロックアウトについて「100回未満で制限をかけること」などの推奨値を規定 |
| RFC 4962 | 認証・認可・アカウンティング(AAA)のセキュリティ要件。繰り返し認証試行への対策を含む |
関連用語
- ブルートフォース攻撃 — パスワードを総当たりで試みるサイバー攻撃手法
- パスワードスプレー攻撃 — 多数のアカウントに少ない試行でパスワードを試す攻撃
- 多要素認証(MFA) — パスワード以外の認証要素を組み合わせてセキュリティを高める仕組み
- クレデンシャルスタッフィング — 流出したID・パスワードを他サービスに使い回す攻撃
- Active Directory — Windowsネットワーク環境でアカウントやポリシーを一元管理するサービス
- ゼロトラスト — 「社内だから安全」という前提を排除したセキュリティモデル
- リスクベース認証 — ログイン状況に応じてリスクを評価し認証強度を動的に変える仕組み
- パスワードポリシー — 組織でパスワードの複雑さや有効期限を定めるルール