パスワード管理は利用者認証を安全に運用するための基本対策です。強度要件やアカウントロックアウトを中心に、SG試験で問われる運用上の判断ポイントを整理します。

sg sg-security-measures access_control it_security_operations

まず結論

パスワード管理とは、利用者認証を安全に行うための運用ルールであり、SG試験では「強度と利便性のバランスが適切か」を判断させる問題が多いです。

直感的な説明

パスワードは「本人確認のカギ」です。

しかし、

  • 簡単すぎる → すぐ破られる
  • 複雑すぎる → メモしてしまう

👉
強くしすぎても弱くしすぎてもダメ

つまり
「安全」と「使いやすさ」のバランスが重要です。

定義・仕組み

パスワード管理とは、パスワードの設定・変更・保管・利用に関するルールを定め、安全に認証を行う仕組みです。

■ 主な管理項目

  • パスワードの長さ・複雑さ
  • 有効期限(定期変更)
  • 使い回しの禁止
  • 入力回数制限(ロックアウト)

■ アカウントロックアウト(重要)

  • 一定回数ログインに失敗するとアカウントを一時的に停止する仕組み

👉
ブルートフォース攻撃対策として重要

ただし注意👇

  • 厳しすぎると正規ユーザも使えなくなる

■ 内部不正・アクセス管理との関係

  • パスワード管理 → 本人確認の強化
  • アクセス管理 → 権限の制御
  • ログ管理 → 操作の記録

👉 3つセットで考えると理解しやすい

どんな場面で使う?

■ 使う場面

  • システムのログイン設計
  • 社内ルールの策定
  • セキュリティポリシーの運用

👉 SG試験では
「この運用は適切か?」と問われます。

■ 使うと誤解しやすい場面

  • 複雑なパスワードにすれば安全
    → 運用が崩れると逆効果

  • 定期変更すれば安全
    → 現在は見直されているケースもある

よくある誤解・混同

❌ 「複雑なパスワードほど安全」

→ ⭕ 運用できなければ意味がない

❌ 「頻繁に変更すれば安全」

→ ⭕ 使い回しやメモの原因になる

❌ 「ロックアウトは厳しいほど良い」

→ ⭕ 利用不能(DoS的状態)になるリスク

■ SG試験でのひっかけ

  • 「利便性を無視した厳しすぎるルール」 → 不適切

  • 「簡単すぎるパスワード運用」 → 不適切

👉
“現実的に運用できるか”が判断基準

まとめ(試験直前用)

  • パスワード管理=認証を安全に運用する仕組み
  • 強度と利便性のバランスが重要
  • ロックアウトは攻撃対策だが過剰はNG
  • 「厳しすぎてもダメ」がSGのポイント
  • 選択肢は「現実的に運用できるか」で判断

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る