コンプライアンスの大きなポイントとして、アクセス管理と認証がある。認証の中心的な要素はユーザーIDとパスワードだ。ユーザーIDとパスワードにはさまざまな弱点があり、多要素認証技術が以前から実用化されている。しかし、いまだに昔ながらのユーザーIDとパスワードの組み合わせが、多くの企業システムでアクセス管理の焦点となっている。
多くの企業は、ワンタイムパスワード(OTP)トークンやスマートカードなど、新しいタイプのデバイスの採用によりネットワーク認証方式を再構築する代わりに、既存のパスワードシステムを強化することを選択している。そうすることで、サーベンス・オクスリー法(SOX法)やHIPAA法(Health Insurance Portability and Accountability Act:医療保険の相互運用性と説明責任に関する法律)、FFIEC基準、PCI DSSといった内部統制と監査に関する法律や基準の順守に取り組んでいる。
本稿では、こうした法律や基準それぞれにおけるパスワード要件を説明し、それらを満たすためのベストプラクティスとツールを紹介する。
まず、SOX法について見てみよう。アクセス管理について規定した同法404条はあいまいだ。具体的な要件は定めずに、「SOX法で要求される財務管理を実施するのに十分なアクセス制御を行わなければならない」としている。
それでも、SOX法の専門家や監査人は、同法を順守するにはパスワードは最低限、以下の要件を満たしていなければならないとアドバイスしている。
メディア総接触時間、「携帯電話/スマートフォン」が「テレビ」を上回り首位に
博報堂DYメディアパートナーズによる、生活者のメディア接触の現状を捉える年次調査の結...
「運用型クリエイティブ」とは何か?
マーケティング施策としてのクリエイティブ改善に取り組むべき理由とは何か。クリエイテ...
「コロナ禍が収束しても現在の生活を維持したい」 前年比5.2ポイント増加し61.5%に――博報堂調査
コロナ禍も約2年が経過し、マスク生活やテレワークなど新しい暮らしや仕事のスタイルがす...
ITmediaはアイティメディア株式会社の登録商標です。
