目次
- 3章2ガイドラインとは?
- ガイドラインに基づくパスワードポリシーの要件
2-1. 最低限の文字数と構成
2-2. パスワードの有効期限と変更頻度
2-3. 再利用と履歴制限
2-4. 多要素認証(MFA)との併用
- 他社のパスワードポリシー事例
- 日本国内企業の事例
- パスワード以外のセキュリティ強化策
- 最適なパスワードポリシー設計のポイント
- まとめ
3章2ガイドラインとは?
「3章2ガイドライン」とは、総務省・経済産業省が定めた情報セキュリティポリシーガイドラインの一部であり、組織におけるパスワード管理のベストプラクティスが示されています。
2022年以降は「定期変更を廃止し、より実効性のある対策」へと進化しました。
ガイドラインに基づくパスワードポリシーの要件
2.1 最低限の文字数と構成
- 推奨文字数:12文字以上(最低8文字)
- 文字種:
- 大文字、小文字、数字、記号を組み合わせ
- 単語ベースではなく、ランダムな構成推奨
例:

2.2 パスワードの有効期限と変更頻度
- 定期変更は不要
- 不正アクセス時は即時変更
- ユーザーに対し異常検知と通知の仕組みを提供
2.3 再利用と履歴制限
- 過去10回分のパスワードの再利用は禁止
- 類似パターンの連番(例:abc123 → abc124)も排除するロジックが必要
2.4 多要素認証(MFA)との併用
- MFAは必須とすることが推奨
- 方法:SMS、認証アプリ、セキュリティキー、指紋など
他社のパスワードポリシー事例
Microsoft
- 最低8文字(推奨12文字以上)
- 定期変更不要
- 条件付きアクセス + MFA(Azure AD)
Google
- パスワード強度のガイダンスを自動表示
- Google Authenticator / Titan Key対応
- セキュリティチェックで漏洩検知
AWS(Amazon Web Services)
- IAMポリシーでパスワードルール設定可能
- MFA設定は全アカウントに強制可
- パスワード履歴保存やロックアウト設定可能
日本国内企業の事例
金融機関(例:三菱UFJ銀行)
- 10桁以上の複雑な構成を要求
- ワンタイムパスワード・MFA導入済
- 操作ログを元に異常検知を実施
公共系(IPA、自治体)
- パスワードは長く複雑なものを推奨
- 「定期変更」よりも「事後対応」の精度向上へ方針転換
- MFAやログ監視の導入が加速中
パスワード以外のセキュリティ強化策
- SSO(シングルサインオン)
- IDaaS(Okta、Auth0など)
- ゼロトラストネットワークの導入
- 生体認証(指紋、顔)
- FIDO2/WebAuthn対応デバイスの導入
最適なパスワードポリシー設計のポイント
項目 | 推奨設定 |
---|
最小文字数 | 12文字以上 |
文字種 | 英大小文字・数字・記号の混在 |
有効期限 | 無期限(不正時のみ変更) |
履歴保存 | 過去10回まで保存 |
ロックアウト | 5回連続失敗で一時ロック |
MFA | 必須(アプリ or ハードウェアキー) |
アラート | 異常アクセス・新デバイス通知 |
ログ管理 | 管理者による定期確認 |
まとめ
3章2ガイドラインでは、従来型の定期パスワード変更よりも、複雑で長く推測しにくいパスワード + 多要素認証(MFA)を基本としたセキュリティ体制の構築が推奨されています。
攻撃者の手口が巧妙化している現在、セキュリティの中心は**「ユーザー教育」+「技術対策」+「監視体制」**の三位一体で設計すべきです。
[cv:issue_marketplace_engineer]