シス１４章第⑥条
シＱ－54 パスワードを用いた利用者認証に関して、不正な攻撃への対応としてどのよ
うなことが挙げられるか。
A

不正な攻撃に対応するために、類推されにくいパスワードや辞書攻撃を受けにくいパ
スワード等が求められます。
例えば以下のような例が挙げられます。なお、類推されやすいパスワードには、利用者
の氏名や生年月日、辞書に記載されている単語等が含まれるものがあります。
a. 英数字、記号を混在させた 13 文字以上の推定困難な文字列
b. 英数字、記号を混在させた 8 文字以上の推定困難な文字列を定期的に変更させる
（最長でも 2 ヶ月以内）
c. 二要素以上の認証の場合、英数字、記号を混在させた 8 文字以上の推定困難な文
字列。ただし他の認証要素として必要な電子証明書等の使用に PIN 等が設定され
ている場合には、この限りではない。
いずれのパスワードを設定した場合でも、他に講じられているセキュリティ対策等
の内容を勘案して、全体として安全なパスワード漏えい対策が講じられていること
を確認すること。
このうち c.の場合、二要素認証となり、ＩＤ／パスワードのみの認証よりも安全性が
高いことから、二要素認証におけるパスワードについては、同項 a.、b.の要件とは異な
り、8 文字以上の推定困難な文字列であっても定期的な変更は求めないこととしていま
す。
パスワード長については、原則として英数字、記号を混在させた 8 文字以上としてい
ますが、例外として二要素認証のもう片方の認証要素を使う際に、ＰＩＮなどが設定さ
れているなどの安全管理が施されている場合には、上記のパスワード長のルールは求め
ないこととしています。この理由は、IC カードに格納されている電子証明書等の認証要
素（知識以外の要素）を使うために設定されている場合のＰＩＮは、ＩＤ／パスワード
（知識）におけるＩＤに紐づくものではなく、厳密に言えばパスワードとは異なるため
です。このようなケースでは利用者認証全体を勘案すると、ＩＤ／パスワードのほかに、
ＩＣカード（所有）や指紋認証（生体）などの知識ではない認証要素、さらに追加の認証
要素（知識）を利用するＰＩＮなどが設定されていることになるため、十分な安全性が確
保されるものと評価されると考えられます。そのため、このような場合には、英数字、記
号を混在させた 8 文字以上というパスワードの要件は求めないこととしています。具体
的には下図の通りなります。

102