最終更新日3月 19, 2025
ポリシーNo.
概要
パスワードは情報セキュリティの重要な要素である。パスワードはユーザー・アカウントを保護する役割を果たすが、パスワードが不適切に構築されると、個々のシステム、データ、またはネットワーク全体が危険にさらされる可能性がある。このガイドラインは、安全なパスワードを作成するためのベストプラクティスを提供する。
目的
この手順の目的は、強力なパスワードの作成、パスワードの保護、変更頻度に関する基準を確立することである。
範囲/責任
この手順は、PCSDの施設に存在する、またはPCSDの施設に接続されているシステムのアカウント(またはパスワードをサポートする、またはパスワードを必要とするアクセス形式)を持つ、またはその責任を負う、地区のために働くすべての職員および団体に適用されます。
手続き
不正アクセスの可能性を最小限に抑えるため、すべてのパスワードは、強力なパスワードを作成するためのガイドラインを満たすか、それ以上のものでなければなりません。
パスワードの特徴
- 強力なパスワード:
- 英数字12文字以上
- 大文字と小文字の両方を含む
- 少なくとも1つの数字を含む(例:0~9)
- 少なくとも1つの特殊文字を含む(例: !$%^&*()_+|~-=`{}[]:";'?,/)
- パスワードが不十分または弱い:
- 8文字未満
- 外国語を含む辞書に載っている、または俗語、方言、専門用語の中に存在する。
- 生年月日、住所、電話番号、家族、ペット、友人、架空の人物などの個人情報を含むもの。
- 建物名、マスコット、ハードウェア、ソフトウェアなど、業務に関連する情報を含むもの
- aaabbb、qwerty、zyxwvuts、123321などの数字パターンを含む
- 一般的な単語のスペルが逆か、数字の前後が含まれている(例:terces、secret1、1secret)。
- Welcome123"、"Password123"、"Changeme123 "のいずれかのバージョンである。
パスワードのベストプラクティス
- 利用者は、PCSDのアカウントとPCSD以外のアクセス(個人的な電子メール、ショッピングサイト、ソーシャルメディアなど)に同じパスワードを使用してはなりません。
- 可能な限り、ユーザーはPCSDへの様々なアクセスニーズに対して同じパスワードを使用してはならない。
- システムレベルの特権(PowerSchoolなど)を持つユーザーアカウントは、2要素認証を使用しない限り、システムレベルの特権のために固有のパスワードを持つ必要があります。
- ユーザーは、許容できる暗号化なしにパスワードを書き留めたり、保存したりしてはならない。
- 覚えやすいパスワードを作る。例えば、"This May Be One Way To Remember "は次のようになります。
TmB1w2R!
パスワード変更の要件
- すべてのシステムレベルのパスワード(root、admin、アプリケーション管理者アカウントなど)は、少なくとも四半期ごとに変更しなければならない。
- すべてのユーザーレベルのパスワード(電子メール、ウェブ、デスクトッ プコンピュータなど)は、少なくとも年1回変更しなければならない。推奨間隔は4ヶ月ごと。
- パスワードのクラックや推測は、情報セキュリティチームによって定期的に行われることがある。パスワードが漏洩した場合、利用者は直ちにパスワードを変更しなければならない。
- パスワードの変更を強制できるシステムは、定期的に変更しなければならない。
- デフォルトのパスワードは、初期設定および構成中に変更する必要があります。
パスワードのセキュリティと管理
- テクノロジーヘルプデスクでは、パスワードの忘れやリセットを管理しています。リセットを許可する前に、利用者は本人確認を行う必要があります。
- パスワードは、事務アシスタント、秘書、マネージャー、同僚、家族など、誰とも共有してはなりません。
- パスワードは、電子メールやその他の電子コミュニケーションに含めてはならない。
- 利用者は、アンケートやセキュリティーフォームで決してパスワードを明かしてはならない。
- ユーザーは、パスワードの形式を示唆してはならない(例えば、「私の家族の名前」)。
- パスワードをメモしたり、オフィスや暗号化されていないファイルに保存したりしないこと。
- パスワードを暗号化せずにコンピュータやモバイルデバイスのファイルに保存しないこと。
- アプリケーション(ウェブブラウザなど)の「パスワードを記憶する」機能は絶対に使用しないでください。
- パスワードが漏洩した疑いがある場合、ユーザーは上司に報告し、直ちにすべてのパスワードを変更しなければならない。
- 自動ログアウトを許可しているシステムでは、自動ログアウトを使用する。
最終更新日
2015年1月更新