コンテンツへスキップ 翻訳メニューへスキップ
Search Icon

最終更新日3月 19, 2025

ポリシーNo.

概要

パスワードは情報セキュリティの重要な要素である。パスワードはユーザー・アカウントを保護する役割を果たすが、パスワードが不適切に構築されると、個々のシステム、データ、またはネットワーク全体が危険にさらされる可能性がある。このガイドラインは、安全なパスワードを作成するためのベストプラクティスを提供する。

目的

この手順の目的は、強力なパスワードの作成、パスワードの保護、変更頻度に関する基準を確立することである。

範囲/責任

この手順は、PCSDの施設に存在する、またはPCSDの施設に接続されているシステムのアカウント(またはパスワードをサポートする、またはパスワードを必要とするアクセス形式)を持つ、またはその責任を負う、地区のために働くすべての職員および団体に適用されます。

手続き

不正アクセスの可能性を最小限に抑えるため、すべてのパスワードは、強力なパスワードを作成するためのガイドラインを満たすか、それ以上のものでなければなりません。

パスワードの特徴

  • 強力なパスワード:
    • 英数字12文字以上
    • 大文字と小文字の両方を含む
    • 少なくとも1つの数字を含む(例:0~9)
    • 少なくとも1つの特殊文字を含む(例: !$%^&*()_+|~-=`{}[]:";'?,/)
  • パスワードが不十分または弱い:
    • 8文字未満
    • 外国語を含む辞書に載っている、または俗語、方言、専門用語の中に存在する。
    • 生年月日、住所、電話番号、家族、ペット、友人、架空の人物などの個人情報を含むもの。
    • 建物名、マスコット、ハードウェア、ソフトウェアなど、業務に関連する情報を含むもの
    • aaabbb、qwerty、zyxwvuts、123321などの数字パターンを含む
    • 一般的な単語のスペルが逆か、数字の前後が含まれている(例:terces、secret1、1secret)。
    • Welcome123"、"Password123"、"Changeme123 "のいずれかのバージョンである。

パスワードのベストプラクティス

  • 利用者は、PCSDのアカウントとPCSD以外のアクセス(個人的な電子メール、ショッピングサイト、ソーシャルメディアなど)に同じパスワードを使用してはなりません。
  • 可能な限り、ユーザーはPCSDへの様々なアクセスニーズに対して同じパスワードを使用してはならない。
  • システムレベルの特権(PowerSchoolなど)を持つユーザーアカウントは、2要素認証を使用しない限り、システムレベルの特権のために固有のパスワードを持つ必要があります。
  • ユーザーは、許容できる暗号化なしにパスワードを書き留めたり、保存したりしてはならない。
  • 覚えやすいパスワードを作る。例えば、"This May Be One Way To Remember "は次のようになります。 TmB1w2R!

パスワード変更の要件

  • すべてのシステムレベルのパスワード(root、admin、アプリケーション管理者アカウントなど)は、少なくとも四半期ごとに変更しなければならない。
  • すべてのユーザーレベルのパスワード(電子メール、ウェブ、デスクトッ プコンピュータなど)は、少なくとも年1回変更しなければならない。推奨間隔は4ヶ月ごと。
  • パスワードのクラックや推測は、情報セキュリティチームによって定期的に行われることがある。パスワードが漏洩した場合、利用者は直ちにパスワードを変更しなければならない。
  • パスワードの変更を強制できるシステムは、定期的に変更しなければならない。
  • デフォルトのパスワードは、初期設定および構成中に変更する必要があります。

パスワードのセキュリティと管理

  • テクノロジーヘルプデスクでは、パスワードの忘れやリセットを管理しています。リセットを許可する前に、利用者は本人確認を行う必要があります。
  • パスワードは、事務アシスタント、秘書、マネージャー、同僚、家族など、誰とも共有してはなりません。
  • パスワードは、電子メールやその他の電子コミュニケーションに含めてはならない。
  • 利用者は、アンケートやセキュリティーフォームで決してパスワードを明かしてはならない。
  • ユーザーは、パスワードの形式を示唆してはならない(例えば、「私の家族の名前」)。
  • パスワードをメモしたり、オフィスや暗号化されていないファイルに保存したりしないこと。
  • パスワードを暗号化せずにコンピュータやモバイルデバイスのファイルに保存しないこと。
  • アプリケーション(ウェブブラウザなど)の「パスワードを記憶する」機能は絶対に使用しないでください。
  • パスワードが漏洩した疑いがある場合、ユーザーは上司に報告し、直ちにすべてのパスワードを変更しなければならない。
  • 自動ログアウトを許可しているシステムでは、自動ログアウトを使用する。

最終更新日

2015年1月更新

関連する方針と手続き

ja日本語