• 検索結果がありません。

ID 及びパスワード等の管理

第 1 章 総則

2.5. 人的セキュリティ

2.5.4. ID 及びパスワード等の管理

【趣旨】

情報システムを利用する際のID及びパスワード、生体認証に係る情報等の認証情報及 びこれを記録した媒体(ICカード等)の管理が適切に行われない場合は、情報システム 等を不正に利用されるおそれがある。このことから、ID及びパスワード等の管理に関す る遵守事項を規定する。

認証情報等は、人的な原因により漏えいしやすい情報である。教育情報システム管理 者からの認証情報等の発行から教職員等での管理に至るまで、人的な原因で情報の漏え いするリスクを最小限にとどめる必要がある。

【例文】

(1) ICカード等の取扱い

①教職員等は、自己の管理するICカード等に関し、次の事項を遵守しなければならな い。

(ア) 認証に用いるICカード等を、教職員等間で共有してはならない。

(イ) 業務上必要のないときは、ICカード等をカードリーダ若しくはパソコン等 の端末のスロット等から抜いておかなければならない。

(ウ) ICカード等を紛失した場合には、速やかに統括教育情報セキュリティ責任 者及び教育情報システム管理者に通報し、指示に従わなければならない。

54

②統括教育情報セキュリティ責任者及び教育情報システム管理者は、ICカード等の紛 失等の通報があり次第、当該ICカード等を使用したアクセス等を速やかに停止しな ければならない。

③統括教育情報セキュリティ責任者及び教育情報システム管理者は、ICカード等を切 り替える場合、切替え前のカードを回収し、破砕するなど復元不可能な処理を行っ た上で廃棄しなければならない。

(2) IDの取扱い

教職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。

①自己が利用しているIDは、他人に利用させてはならない。

②共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。

(3) パスワードの取扱い

教職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならな い。

①パスワードは、他者に知られないように管理しなければならない。

②パスワードを秘密にし、パスワードの照会等には一切応じてはならない。

③パスワードは十分な長さとし、文字列は想像しにくいものにしなければならない。

④パスワードが流出したおそれがある場合には、教育情報セキュリティ管理者に速や かに報告し、パスワードを速やかに変更しなければならない。

⑤パスワードは定期的に又はアクセス回数に基づいて変更し、古いパスワードを再利 用してはならない。

⑥複数の教育情報システムを扱う教職員等は、同一のパスワードを複数のシステム間 で用いてはならない。

⑦仮のパスワードは、最初のログイン時点で変更しなければならない。

⑧パソコン等の端末にパスワードを記憶させてはならない。

⑨教職員等間でパスワードを共有してはならない。

(解説)

(1) ICカード等の取扱い

認証のため、ICカードやUSBトークン等の媒体を利用する場合は、情報のライフサ イクルに着目し、利用、保管、返却、廃棄等の各段階における取扱い方法を定めてお くことが必要である。

(2) IDの取扱い

ID(Indentification)とは本人確認の情報のことで、情報システムや端末にログイ

55

ンする際に本人であることを示すものであり、他者にこの情報が渡れば、本人になり 代わってログインが可能(なりすましの脅威)となるため、IDは本人だけが分ってい る必要がある。共用IDの場合は、共用することが許される集団のみが知り得る情報で あることから、集団の外に漏らしてはいけない。また、外部からのアクセスの場合に は、共用IDの利用は避けることが望ましい。

(3) パスワードの取扱い

パスワードの秘密を担保するため、想像しにくいパスワード設定(例えば、大文字 と小文字を組み合わせる、数字とアルファベットと記号を組み合わせる等)、パスワ ードの共有禁止などを定める。

(注1) 複数のシステムを取り扱う等により、複数の異なるパスワードが必要となる 場合があるが、全てを覚えることの困難性から、安易なパスワードを数個使 い回すといった運用が起こる可能性がある。

パスワードのメモを作成し、机上、キーボード、ディスプレイ周辺等にメモ を置くことは禁止する必要はあるが、特定の場所に施錠して保存する等によ り他人が容易に見ることができないような措置をしていれば、メモの存在が パスワードの効果を削ぐものではないため、パスワードのメモそれ自体の作 成を禁止するものではない。

(注2) 固定パスワードによるアクセス制限では、時間の経過に伴い、悪意のある第 三者による不正侵入、不正操作等のセキュリティリスクが高まるため、 定 期的にパスワードを変更することが必要である。

なお、一度限り有効な使い捨てのワンタイムパスワードを利用することで、

こうしたリスクを低減する方法もある。

パスワードの定期的変更の是非については専門家の中でも見解が異なってい ることから、引き続き、自治体におけるパスワードの運用実態及び技術的動 向等も勘案しながら、必要に応じて見直しを行うこととする。

56

今ダウンロードする "教育情報セキュリティポ..."

Outline

関連したドキュメント