14．認証・認可に関する安全管理措置
シス１４章第①条
シＱ－48 認証方法が安全な利用者の識別・認証方法を選定する際、どのよう
な留意事項があるか。
Ａ 利用者の識別・認証方法を選定する際には、認証の安全税を考慮する必要が
ありますが、その際に、認証強度が高い利用者の識別・認証を採用することが
求められます。
これまで使われてきた ID・パスワードの組み合わせは、これまで広く用い
られてきた方法ですが、ID・パスワードによる認証ではその運用によっては、
リスクが大きくなります。認証強度を維持するためには、交付時の初期パスワ
ードの利用者本人による変更や定期的なパスワード変更を義務付ける等、シス
テムの実装や運用を工夫し、必ず本人しか知り得ない状態を保つよう対策を行
う必要があります。
ただし、このような対策を徹底することは一般に困難であると考えられるた
め、その実現可能性の観点からは必ずしも推奨されません。
認証に用いる手段としては、ID・パスワードの組み合わせのような利用者の
「記憶」によるもの、指紋や静脈、虹彩のような利用者の生体的特徴を利用し
た「生体情報」
（バイオメトリクス）によるもの、IC カードのような「物理媒
体」（セキュリティ・デバイス）によるものが一般的です。認証におけるセキ
ュリティ強度を考えた場合、これらのいずれの手段であっても、単独で用いた
場合に十分な認証強度を保つことは一般には困難です。そこで、IC カード等
のセキュリティ・デバイス＋パスワードやバイオメトリクス＋IC カード、ID・
パスワード＋バイオメトリクスのように、認証の 3 要素である「記憶」、「生
体情報」、
「物理媒体」のうち、2 つの独立した要素を組み合わせて認証を行う
方式（二要素認証）を採用することが望ましいとされます。
なお、認証に際して、二段階で認証を行う二段階認証と呼ばれる方法があり
ますが、この場合には利用される認証要素が同一となることもあるため、実質
的にリスク低下につながらないこともあります。そのため、二段階認証を選択
するだけでは二要素認証の要求を満たさないと考えるべきでしょう。

101