シス１４章第⑥条
シＱ－5４

A

パスワードを用いた利用者認証に関して、不正な攻撃への対応と
してどのようなことが挙げられるか。

不正な攻撃に対応するために、類推されにくいパスワードや辞書攻撃を受け
にくいパスワード等が求められます。
例えば以下のような例が挙げられます。なお、類推されやすいパスワードに
は、利用者の氏名や生年月日、辞書に記載されている単語等が含まれるものが
あります。
a. 英数字、記号を混在させた 13 文字以上の推定困難な文字列
b. 英数字、記号を混在させた 8 文字以上の推定困難な文字列を定期的に変
更させる（最長でも 2 ヶ月以内）
c. 二要素以上の認証の場合、英数字、記号を混在させた 8 文字以上の推定
困難な文字列。ただし他の認証要素として必要な電子証明書等の使用に
PIN 等が設定されている場合には、この限りではない。
いずれのパスワードを設定した場合でも、他に講じられているセキュリ
ティ対策等の内容を勘案して、全体として安全なパスワード漏えい対策
が講じられていることを確認すること。
このうち c.の場合、二要素認証となり、ＩＤ／パスワードのみの認証よりも
安全性が高いことから、二要素認証におけるパスワードについては、同項 a.、
b.の要件とは異なり、8 文字以上の推定困難な文字列であっても定期的な変更
は求めないこととしています。
パスワード長については、原則として英数字、記号を混在させた 8 文字以
上としていますが、例外として二要素認証のもう片方の認証要素を使う際に、
ＰＩＮなどが設定されているなどの安全管理が施されている場合には、上記の
パスワード長のルールは求めないこととしています。この理由は、IC カード
に格納されている電子証明書等の認証要素（知識以外の要素）を使うために設
定されている場合のＰＩＮは、ＩＤ／パスワード（知識）におけるＩＤに紐づ
くものではなく、厳密に言えばパスワードとは異なるためです。このようなケ
ースでは利用者認証全体を勘案すると、ＩＤ／パスワードのほかに、ＩＣカー
ド（所有）や指紋認証（生体）などの知識ではない認証要素、さらに追加の認
証要素（知識）を利用するＰＩＮなどが設定されていることになるため、十分
な安全性が確保されるものと評価されると考えられます。そのため、このよう
な場合には、英数字、記号を混在させた 8 文字以上というパスワードの要件
は求めないこととしています。具体的には下図の通りなります。

107