【問269】個人情報保護士 練習問題|パスワード管理
情報セキュリティ 問89/120難易度A(易しい)
問題文
個人情報を取り扱う情報システムにおけるパスワード管理のベストプラクティスとして、最も適切なものはどれか。
- 1.パスワードは定期的に短い間隔で強制変更させることが最も効果的な対策である
- 2.パスワードは十分な長さと複雑さを確保し、使い回しを避けることが重要である
- 3.パスワードをシステム内に平文で保存し、問い合わせに即座に回答できるようにする
- 4.パスワードの最低文字数は4文字以上に設定すれば十分なセキュリティを確保できる
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
過度に短い間隔での定期変更は、利用者がパスワードを単純化したり、メモに書き留めるなどの行動を誘発し、かえってセキュリティリスクを高めることが指摘されています。NISTのガイドラインでも定期変更の強制は推奨されていません。
選択肢2 → ✅正解
十分な長さ(一般に12文字以上推奨)と複雑さを確保し、サービス間での使い回しを避けることが、現在のパスワード管理のベストプラクティスです。
選択肢3 → ❌誤り
パスワードを平文で保存することは重大なセキュリティ違反です。パスワードはハッシュ化(ソルト付き)して保存することが必須であり、元のパスワードを復元できない形式で管理します。
選択肢4 → ❌誤り
4文字のパスワードはブルートフォース攻撃(総当たり攻撃)で容易に突破されます。現在のセキュリティ基準では最低8文字以上、推奨12文字以上が一般的です。
背景知識
パスワード管理の考え方は近年大きく変化しています。従来は定期的な変更が推奨されていましたが、NISTの改定ガイドライン(SP 800-63B)では定期変更の強制を非推奨とし、長く複雑なパスワード(パスフレーズ)の使用を推奨しています。パスワードマネージャーの活用も推奨されており、サービスごとに異なるランダムなパスワードを使用することが理想的です。保存時はbcryptやArgon2などの安全なハッシュ関数を使用します。
学習アドバイス
パスワード管理のベストプラクティスが「定期変更重視」から「長さと複雑さ重視」に変化していることを理解しましょう。平文保存の危険性とハッシュ化の必要性も重要な知識です。
まとめ
- パスワードは十分な長さ・複雑さを確保し使い回しを避ける
- 定期変更の強制は現在推奨されていない(NIST SP 800-63B)
- パスワードはハッシュ化して保存し、平文保存は厳禁