詳細情報:
接続アプリケーションのモバイルポリシーの管理: モバイル PIN の複雑さ
このセキュリティ設定では、モバイルインターフェースのロックを解除するために 8 桁以上の数値シーケンスを要求することで、ローカルアプリケーションアクセスに特定の暗号エントロピーレベルを義務付けます。
コントロール名
接続アプリケーション: 接続アプリケーションのモバイルポリシーの管理: モバイル PIN の複雑さ
推奨設定
Pin Length (固定長) - [8 digits (8 桁)] を選択します。
制御の概要
このセキュリティ設定では、モバイルインターフェースのロックを解除するために 8 桁以上の数値シーケンスを要求することで、ローカルアプリケーションアクセスに特定の暗号エントロピーレベルを義務付けます。
設定されていない場合のセキュリティリスク
モバイル接続アプリケーションの PIN の長さの要件が弱いと、ローカルデータが単純なブルートフォース攻撃を受けやすくなったり、未承認のユーザーによる PIN の推測が観察されたりする脆弱性につながります。
脅威のシナリオ
モバイルデバイスを物理的に入手した攻撃者は、迅速な試行錯誤の連続、または低複雑度認証に使用される一般的な数値パターンの特定によって、4 桁の短い PIN をバイパスできます。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
8 桁の PIN を適用しないと、モバイルアプリケーションに不正に入力され、キャッシュされた顧客レコードへのフルアクセス権が付与され、有効なセッショントークンを使用して API コールを実行できます。
より高いリスク
ショルダーサーフィンが流行している公共環境でアプリケーションが使用されている場合、または組織が複数回試行に失敗した後に厳格なロックアウトポリシーを適用しない場合。
低リスク
組織で生体認証をプライマリロック解除メカニズムとして有効にしている場合、8 桁の PIN を ID 検証の高セキュリティフォールバックとしてのみ使用します。
ビジネスと統合に関する考慮事項
機密性の高い企業インテリジェンスを保護するためには 8 桁の PIN が推奨されますが、機密性の低いユーティリティアプリケーションではユーザーの利便性を優先するために、短い PIN が適している場合があります。
推奨される修復
[接続アプリケーションのモバイルアプリケーション設定] に移動し、[PIN の長さ] 項目を見つけて、8 桁のオプションを選択し、不正なローカルアクセスの難易度を高めます。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review では、8 桁の PIN をモバイルセキュリティの推奨標準として特定し、ブルートフォース攻撃の数学的難易度が組織の境界の整合性を保護するために十分であることを確認します。
