「パスワードの複雑性」の要件：Tech TIPS

連載目次

安全なパスワードとは？

　パスワード管理の重要性についてはいうまでもないが、パスワードに使う文字列に簡単なものを使用しない、というのも破られにくいパスワードの必要条件である。例えばユーザー名と同じ文字列や、単語の末尾に数字を付加しただけといった、類推が容易なパスワードは安全性が低い。

　このようなパスワードを使用しないようにユーザーを教育するという方法も1つの手であるが、可能ならばシステム側でそのようなパスワードの使用を禁止できるとよい。そうすれば、すべてのパスワードがある程度の強度を持つことになり、脆弱（ぜいじゃく）なユーザー名／パスワードの組から、重要な情報が漏えいしたり、システムが攻撃されたりする危険性を多少なりとも下げることができるからだ。

Windows OSでパスワードの「複雑性」を強制する

　［管理ツール］の［ローカル セキュリティ ポリシー］や、Active Directoryのグループポリシーを使うと、パスワードに対してある程度の「複雑性（complexity）」を要求するように設定できる。

複雑なパスワードを要求するためのポリシー設定
これは［管理ツール］の［ローカル セキュリティ ポリシー］の例。グループポリシーでは、［コンピュータの構成］−［Windows の設定］−［セキュリティの設定］−［アカウント ポリシー］−［パスワードのポリシー］を開く。この中にある［パスワードは、複雑さの要件を満たす必要がある］（［パスワードは要求する複雑さを満たす］となっている場合もある）を設定すると、類推が容易なパスワードの使用は禁止される。
　 （1）このポリシーを開く。
　 （2）これを［有効］に設定する。

　この設定を［有効］にすると（デフォルトは［無効］）、パスワードを設定したり、変更したりする場合にパスワードの複雑性が検証され、条件を満たしていないと次のようなダイアログが表示される。

条件を満たさないパスワードの禁止
条件を満たさないパスワードを設定しようとすると、エラーとなる。

パスワードの「複雑性」の要件

　ここでは、このポリシー設定を有効にした場合に求められる、「パスワードの複雑性に対する要件」についてまとめておく。具体的には、次のような条件を満たす必要がある。

●3種類以上の文字を含むこと

　英大文字（A、B、……、Z）／英小文字（a、b、……、z）／数字（0、1、……、9）／記号（英数字以外の記号類）のうち、3種類以上を含むこと。例えば「yamada4599」は禁止される。一方、「yamada-2931」は条件を満たす。

●文字列長は3文字以上

　ヘルプやサポート技術情報などによれば、このポリシー設定を行うと、パスワードとして設定する文字が全体で6文字以上必要となるとされている。

　だが実際には、パスワード長は別のポリシー「パスワードの長さ」によって規定されている。

　そのため、上の「3種類以上の文字を含むこと」という条件を考慮すると、実質的には3文字以上のパスワードを設定すればよい。実際に運用する場合は「パスワードの長さ」ポリシーも併用するのがよいだろう。

●ユーザー名を含むパスワードの禁止

　パスワードの一部に、ユーザー名そのものを含むパスワードは禁止される。例えばユーザー名が「yamada」の場合、「yamada-123」「!yamada9」といったパスワードは利用できない。

　なお、ヘルプやサポート技術情報などによれば、ユーザー名の一部だけを含むパスワードも禁止されるとなっているが、「yam-123!」といったパスワードは許可されてしまうようである。

「パスワードの複雑性の要求ポリシー」だけでは十分ではない

　このように、パスワードの複雑性の要求ポリシーを設定すれば以上の条件が検証され、これを満たさないパスワードの使用を禁止できる。

　だがこれだけでは十分ではないだろう。例えばユーザー名の一部だけを使用していたり、単純な数値を末尾に付けるだけ（例：「yama-123」）、ペットや人の名などを使用しても、それらを禁止することはできない。

　このあたりは、さらにパスワード設定のガイドラインを作成して、ユーザーに配布／教育するといった手段も必要だろう。また、パスワード検証用のフィルタプログラムを独自に開発して利用するという方法もある（こうすれば、より複雑な条件を課することができる）。

　なおパスワードに関するポリシーとしては、このほかにも、過去に使用したものと同じものを使用禁止にするとか、何日ごとに変更を強制するなどのもポリシーもあるので、それらも必要に応じて設定していただきたい。

「Tech TIPS」