2007年11月09日 04時45分 公開
特集/連載

パスワードのコンプライアンス要件をクリアするコツツールでここまで設定できる

守るべき要件を押さえて適切なツールを使えば、コンプライアンスの面倒な負担が増えることにはならない。

[Joel Dubin,TechTarget]

 コンプライアンスの大きなポイントとして、アクセス管理と認証がある。認証の中心的な要素はユーザーIDとパスワードだ。ユーザーIDとパスワードにはさまざまな弱点があり、多要素認証技術が以前から実用化されている。しかし、いまだに昔ながらのユーザーIDとパスワードの組み合わせが、多くの企業システムでアクセス管理の焦点となっている。

 多くの企業は、ワンタイムパスワード(OTP)トークンやスマートカードなど、新しいタイプのデバイスの採用によりネットワーク認証方式を再構築する代わりに、既存のパスワードシステムを強化することを選択している。そうすることで、サーベンス・オクスリー法(SOX法)やHIPAA法(Health Insurance Portability and Accountability Act:医療保険の相互運用性と説明責任に関する法律)、FFIEC基準、PCI DSSといった内部統制と監査に関する法律や基準の順守に取り組んでいる。

 本稿では、こうした法律や基準それぞれにおけるパスワード要件を説明し、それらを満たすためのベストプラクティスとツールを紹介する。

パスワードに関する規制要件

 まず、SOX法について見てみよう。アクセス管理について規定した同法404条はあいまいだ。具体的な要件は定めずに、「SOX法で要求される財務管理を実施するのに十分なアクセス制御を行わなければならない」としている。

 それでも、SOX法の専門家や監査人は、同法を順守するにはパスワードは最低限、以下の要件を満たしていなければならないとアドバイスしている。

ITmedia マーケティング新着記事

news051.jpg

電通の広告・マーケティングノウハウをAIで再現 「CXAI」が目指すもの
電通グループ4社が、CXのためのAI構築サービスを開始した。電通のクリエイターの知見を学...

news066.jpg

Snowflakeデータマーケットプレイスが目指すもの クラウドDWHから他社データ活用、そして自社データ収益化へ
2020年9月に新規株式公開(IPO)を果たし、時価総額が一時約700億ドルとなって話題を呼ん...

news007.jpg

「A/Bテスト」ツール 売れ筋TOP10(2021年6月)
デジタル需要が拡大する中、自社サイトの運営でクリック率やコンバージョン率の向上に欠...