最終更新日3月 19, 2025

ポリシーNo.

• パスワード手順書ダウンロード

概要

パスワードは情報セキュリティの重要な要素である。パスワードはユーザー・アカウントを保護する役割を果たすが、パスワードが不適切に構築されると、個々のシステム、データ、またはネットワーク全体が危険にさらされる可能性がある。このガイドラインは、安全なパスワードを作成するためのベストプラクティスを提供する。

目的

この手順の目的は、強力なパスワードの作成、パスワードの保護、変更頻度に関する基準を確立することである。

範囲／責任

この手順は、PCSDの施設に存在する、またはPCSDの施設に接続されているシステムのアカウント（またはパスワードをサポートする、またはパスワードを必要とするアクセス形式）を持つ、またはその責任を負う、地区のために働くすべての職員および団体に適用されます。

手続き

不正アクセスの可能性を最小限に抑えるため、すべてのパスワードは、強力なパスワードを作成するためのガイドラインを満たすか、それ以上のものでなければなりません。

パスワードの特徴

• 強力なパスワード：
  • 英数字12文字以上
  • 大文字と小文字の両方を含む
  • 少なくとも1つの数字を含む（例：0～9）
  • 少なくとも1つの特殊文字を含む（例: !$%^&*()_+|~-=`{}[]:";'?,/)
• パスワードが不十分または弱い：
  • 8文字未満
  • 外国語を含む辞書に載っている、または俗語、方言、専門用語の中に存在する。
  • 生年月日、住所、電話番号、家族、ペット、友人、架空の人物などの個人情報を含むもの。
  • 建物名、マスコット、ハードウェア、ソフトウェアなど、業務に関連する情報を含むもの
  • aaabbb、qwerty、zyxwvuts、123321などの数字パターンを含む
  • 一般的な単語のスペルが逆か、数字の前後が含まれている（例：terces、secret1、1secret）。
  • Welcome123"、"Password123"、"Changeme123 "のいずれかのバージョンである。

パスワードのベストプラクティス

• 利用者は、PCSDのアカウントとPCSD以外のアクセス（個人的な電子メール、ショッピングサイト、ソーシャルメディアなど）に同じパスワードを使用してはなりません。
• 可能な限り、ユーザーはPCSDへの様々なアクセスニーズに対して同じパスワードを使用してはならない。
• システムレベルの特権（PowerSchoolなど）を持つユーザーアカウントは、2要素認証を使用しない限り、システムレベルの特権のために固有のパスワードを持つ必要があります。
• ユーザーは、許容できる暗号化なしにパスワードを書き留めたり、保存したりしてはならない。
• 覚えやすいパスワードを作る。例えば、"This May Be One Way To Remember "は次のようになります。 TmB1w2R！

パスワード変更の要件

• すべてのシステムレベルのパスワード（root、admin、アプリケーション管理者アカウントなど）は、少なくとも四半期ごとに変更しなければならない。
• すべてのユーザーレベルのパスワード（電子メール、ウェブ、デスクトッ プコンピュータなど）は、少なくとも年1回変更しなければならない。推奨間隔は4ヶ月ごと。
• パスワードのクラックや推測は、情報セキュリティチームによって定期的に行われることがある。パスワードが漏洩した場合、利用者は直ちにパスワードを変更しなければならない。
• パスワードの変更を強制できるシステムは、定期的に変更しなければならない。
• デフォルトのパスワードは、初期設定および構成中に変更する必要があります。

パスワードのセキュリティと管理

• テクノロジーヘルプデスクでは、パスワードの忘れやリセットを管理しています。リセットを許可する前に、利用者は本人確認を行う必要があります。
• パスワードは、事務アシスタント、秘書、マネージャー、同僚、家族など、誰とも共有してはなりません。
• パスワードは、電子メールやその他の電子コミュニケーションに含めてはならない。
• 利用者は、アンケートやセキュリティーフォームで決してパスワードを明かしてはならない。
• ユーザーは、パスワードの形式を示唆してはならない（例えば、「私の家族の名前」）。
• パスワードをメモしたり、オフィスや暗号化されていないファイルに保存したりしないこと。
• パスワードを暗号化せずにコンピュータやモバイルデバイスのファイルに保存しないこと。
• アプリケーション（ウェブブラウザなど）の「パスワードを記憶する」機能は絶対に使用しないでください。
• パスワードが漏洩した疑いがある場合、ユーザーは上司に報告し、直ちにすべてのパスワードを変更しなければならない。
• 自動ログアウトを許可しているシステムでは、自動ログアウトを使用する。

最終更新日

2015年1月更新

関連する方針と手続き

• 4204 技術利用
• 4204 受け入れ可能な使用
• 4204監査
• 4204 クリーンデスク
• 4204 災害復旧計画
• 4204 Eメール
• 4204 従業員セキュリティ意識向上研修
• 4204 暗号化
• 4204 パスワード
• 4204 リモートアクセス
• 4204 ルーターとスイッチのセキュリティ
• 4204 機密ワークステーションのセキュリティ
• 4204 セキュリティ対応計画
• 4204 サーバー・セキュリティ
• 4204 ソフトウェアのインストール
• 4204 ウェブサイト・サービス・セキュリティ
• 4204 無線機器通信
• 4204 ワイヤレス・インフラ通信