情報セキュリティガイドライン要点まとめ

情報システムのセキュリティ要件のポイントまとめ

  • オンライン手続きのリスク評価と主体認証方式の適切な選定

    • 前回のログインに関する情報を通知する機能
    • 不正にログインしようとする行為を検知又は防止する機能
    • 情報システムへのログイン時にメッセージを表示する機能
    • 管理者権限によるログインの際に個別の識別コードによりログインすることを併せて求める機能
  • パスワードの定期的な変更の是非とその効果に関してはしばしば検討する必要がある

    結局のところ、パスワードは当てられない程度に十分に長くするほかないのであり、その尺度には、例えば、「100 年以内に 1 回以上当てられる確率が0.0001%以下」といった基準が考えられ、これを満たす長さのパスワードを設定していれば、定期的に変更してもしなくても、当てられる確率はこれ以下に抑えられる。

    共通鍵暗号では、一般に、同じ鍵を繰り返し用いていると、その鍵で暗号化された暗号文を大量に得ることができれば、それを用いて鍵を推定できる確率が高まっていく性質があることから、鍵の定期的な変更が求められている。このことからの類推で、パスワードについても使用回数が増えるとパスワードの秘匿性が劣化すると考えてしまうとすれば、それは誤解である。

  • ACLの設定を適切に行う

続きを読む