3章2ガイドラインに準拠したパスワードポリシーと実践例

0

2025年04月08日 14:14

目次

  1. 3章2ガイドラインとは?
  2. ガイドラインに基づくパスワードポリシーの要件
    2-1. 最低限の文字数と構成
    2-2. パスワードの有効期限と変更頻度
    2-3. 再利用と履歴制限
    2-4. 多要素認証(MFA)との併用
  3. 他社のパスワードポリシー事例
  4. 日本国内企業の事例
  5. パスワード以外のセキュリティ強化策
  6. 最適なパスワードポリシー設計のポイント
  7. まとめ

3章2ガイドラインとは?

「3章2ガイドライン」とは、総務省・経済産業省が定めた情報セキュリティポリシーガイドラインの一部であり、組織におけるパスワード管理のベストプラクティスが示されています。

2022年以降は「定期変更を廃止し、より実効性のある対策」へと進化しました。


ガイドラインに基づくパスワードポリシーの要件

2.1 最低限の文字数と構成

  • 推奨文字数:12文字以上(最低8文字)
  • 文字種
    • 大文字、小文字、数字、記号を組み合わせ
    • 単語ベースではなく、ランダムな構成推奨

例:

img


2.2 パスワードの有効期限と変更頻度

  • 定期変更は不要
  • 不正アクセス時は即時変更
  • ユーザーに対し異常検知と通知の仕組みを提供

2.3 再利用と履歴制限

  • 過去10回分のパスワードの再利用は禁止
  • 類似パターンの連番(例:abc123 → abc124)も排除するロジックが必要

2.4 多要素認証(MFA)との併用

  • MFAは必須とすることが推奨
  • 方法:SMS、認証アプリ、セキュリティキー、指紋など

他社のパスワードポリシー事例

Microsoft

  • 最低8文字(推奨12文字以上)
  • 定期変更不要
  • 条件付きアクセス + MFA(Azure AD)

Google

  • パスワード強度のガイダンスを自動表示
  • Google Authenticator / Titan Key対応
  • セキュリティチェックで漏洩検知

AWS(Amazon Web Services)

  • IAMポリシーでパスワードルール設定可能
  • MFA設定は全アカウントに強制可
  • パスワード履歴保存やロックアウト設定可能

日本国内企業の事例

金融機関(例:三菱UFJ銀行)

  • 10桁以上の複雑な構成を要求
  • ワンタイムパスワード・MFA導入済
  • 操作ログを元に異常検知を実施

公共系(IPA、自治体)

  • パスワードは長く複雑なものを推奨
  • 「定期変更」よりも「事後対応」の精度向上へ方針転換
  • MFAやログ監視の導入が加速中

パスワード以外のセキュリティ強化策

  • SSO(シングルサインオン)
  • IDaaS(Okta、Auth0など)
  • ゼロトラストネットワークの導入
  • 生体認証(指紋、顔)
  • FIDO2/WebAuthn対応デバイスの導入

最適なパスワードポリシー設計のポイント

項目推奨設定
最小文字数12文字以上
文字種英大小文字・数字・記号の混在
有効期限無期限(不正時のみ変更)
履歴保存過去10回まで保存
ロックアウト5回連続失敗で一時ロック
MFA必須(アプリ or ハードウェアキー)
アラート異常アクセス・新デバイス通知
ログ管理管理者による定期確認

まとめ

3章2ガイドラインでは、従来型の定期パスワード変更よりも、複雑で長く推測しにくいパスワード + 多要素認証(MFA)を基本としたセキュリティ体制の構築が推奨されています。

攻撃者の手口が巧妙化している現在、セキュリティの中心は**「ユーザー教育」+「技術対策」+「監視体制」**の三位一体で設計すべきです。


[cv:issue_marketplace_engineer]

# セキュリティ
0

診断を受けるとあなたの現在の業務委託単価を算出します。今後副業やフリーランスで単価を交渉する際の参考になります。また次の単価レンジに到達するためのヒントも確認できます。