パスワード管理(不可逆暗号化、強度設定)

概要

主に以下の3つの機能でパスワードを管理することでセキュリティレベルを高めています。それぞれについて後述します。

• 通信暗号化
• 不可逆暗号化
• パスワード強度の設定

各機能の説明

通信暗号化

完全HTTPS対応しています。 全ページでブラウザとサーバの暗号化通信が強制することで「盗聴」「改ざん」リスクから保護します。

不可逆暗号化

パスワードをデータベースに保存する際に「不可逆暗号化」を施しています。これにより万が一、サイトが攻撃されてデータベースの内容が外部に流出してもパスワードを復元することはできません。

パスワード強度の設定

管理サイト > システム設定 > 認証設定 でパスワードの強度を設定できます。これにより脆弱なパスワードが設定されることを防げます。

よくある質問

パスワードを忘れました。教えてください。

ご自身でパスワード再発行手続きが可能です。なおパスワードは不可逆暗号化されているので、システム管理者であっても知ることはできません。

パスワードの有効期限を設定(定期的な変更を強制)したいです。

パスワード有効期限の機能は対応しておりません。パスワードを頻繁に変えることは利用者の使い勝手を低下させるだけでなく、脆弱性を増すためです。(パスワード期限は古い常識・作法です)
総務省や大手OSベンダー(Microsoft)でも「定期的なパスワード変更は不要」とアナウンスされていますのでご参考にしてください。

【総務省の指針】安全なパスワード管理｜社員・職員全般の情報セキュリティ対策｜企業・組織の対策｜国民のための情報セキュリティサイト
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

> むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、
> 使い回しをするようになることの方が問題となります。

【Microsoft社のセキュリティに関するアナウンス】Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903 | Microsoft Docs
https://docs.microsoft.com/ja-jp/archive/blogs/secguide/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903

> 定期的なパスワード変更を必要とするパスワード有効期限ポリシーを削除します。
> (原文: Dropping the password-expiration policies that require periodic password changes. This change is discussed in further detail below.)

関連リンク

1. FAQ/セキュリティについて(全体像）
2. ユーザ種別･権限によるアクセス制御/データ保護
3. 全ページHTTPS対応/通信暗号化
4. クレジットカード情報非保持化対応
5. パスワード管理(不可逆暗号化、強度設定)
6. パスワード変更手順(管理サイト)
7. SPAM対応/reCAPTCHA
8. 監視･監査機能/操作履歴の記録､照会､重要イベントの通知
9. 海外（日本国外）からの管理サイトへのアクセス禁止
10. 不正アクセス元の自動接続拒否