目次

1. 3章2ガイドラインとは？
2. ガイドラインに基づくパスワードポリシーの要件
   2-1. 最低限の文字数と構成
   2-2. パスワードの有効期限と変更頻度
   2-3. 再利用と履歴制限
   2-4. 多要素認証（MFA）との併用
3. 他社のパスワードポリシー事例
4. 日本国内企業の事例
5. パスワード以外のセキュリティ強化策
6. 最適なパスワードポリシー設計のポイント
7. まとめ

---

3章2ガイドラインとは？

「3章2ガイドライン」とは、総務省・経済産業省が定めた情報セキュリティポリシーガイドラインの一部であり、組織におけるパスワード管理のベストプラクティスが示されています。

2022年以降は「定期変更を廃止し、より実効性のある対策」へと進化しました。

---

ガイドラインに基づくパスワードポリシーの要件

2.1 最低限の文字数と構成

• 推奨文字数：12文字以上（最低8文字）
• 文字種：
  • 大文字、小文字、数字、記号を組み合わせ
  • 単語ベースではなく、ランダムな構成推奨

例：

---

2.2 パスワードの有効期限と変更頻度

• 定期変更は不要
• 不正アクセス時は即時変更
• ユーザーに対し異常検知と通知の仕組みを提供

---

2.3 再利用と履歴制限

• 過去10回分のパスワードの再利用は禁止
• 類似パターンの連番（例：abc123 → abc124）も排除するロジックが必要

---

2.4 多要素認証（MFA）との併用

• MFAは必須とすることが推奨
• 方法：SMS、認証アプリ、セキュリティキー、指紋など

---

他社のパスワードポリシー事例

Microsoft

• 最低8文字（推奨12文字以上）
• 定期変更不要
• 条件付きアクセス + MFA（Azure AD）

Google

• パスワード強度のガイダンスを自動表示
• Google Authenticator / Titan Key対応
• セキュリティチェックで漏洩検知

AWS（Amazon Web Services）

• IAMポリシーでパスワードルール設定可能
• MFA設定は全アカウントに強制可
• パスワード履歴保存やロックアウト設定可能

---

日本国内企業の事例

金融機関（例：三菱UFJ銀行）

• 10桁以上の複雑な構成を要求
• ワンタイムパスワード・MFA導入済
• 操作ログを元に異常検知を実施

公共系（IPA、自治体）

• パスワードは長く複雑なものを推奨
• 「定期変更」よりも「事後対応」の精度向上へ方針転換
• MFAやログ監視の導入が加速中

---

パスワード以外のセキュリティ強化策

• SSO（シングルサインオン）
• IDaaS（Okta、Auth0など）
• ゼロトラストネットワークの導入
• 生体認証（指紋、顔）
• FIDO2／WebAuthn対応デバイスの導入

---

最適なパスワードポリシー設計のポイント

項目	推奨設定
最小文字数	12文字以上
文字種	英大小文字・数字・記号の混在
有効期限	無期限（不正時のみ変更）
履歴保存	過去10回まで保存
ロックアウト	5回連続失敗で一時ロック
MFA	必須（アプリ or ハードウェアキー）
アラート	異常アクセス・新デバイス通知
ログ管理	管理者による定期確認

---

まとめ

3章2ガイドラインでは、従来型の定期パスワード変更よりも、複雑で長く推測しにくいパスワード + 多要素認証（MFA）を基本としたセキュリティ体制の構築が推奨されています。

攻撃者の手口が巧妙化している現在、セキュリティの中心は**「ユーザー教育」＋「技術対策」＋「監視体制」**の三位一体で設計すべきです。

---

[cv:issue_marketplace_engineer]