コンピューターシステムにおけるパスワード管理について

Back to Archive
Keyword
Select Category
Question Status
Ask Question
質問
0
XX
2月 07, 2025 09:28 AM 1 Answers その他
Member Since Jan 1970
Unsolved Solved Mark as Solved Mark as Unsolved
Subscribed Subscribe Not subscribe
Flag(0)

コンピューターシステムにおけるパスワード管理について、従来はパスワードの定期的な変更が推奨されていたかと思いますが、NISTのガイドラインや総務省のHPによると現在は推奨されていないようです。

FDAの査察においては現在もパスワードの定期的な変更が求められるでしょうか?

0 Subscribers
Submit Answer
1 Answers
Sort By:
Best Answer
0
Anonymous
Edit 2月 08, 2025
Flag(0)

NISTガイドラインの最新動向

2025年のNISTガイドラインにおいて、パスワードセキュリティに関する重要な方針転換が示されています。特筆すべき変更点として、従来推奨されていた定期的なパスワード変更要件が大幅に見直されています。新ガイドラインでは、セキュリティ侵害の証拠が確認されない限り、強制的なパスワード有効期限の設定を推奨しないとしています。パスワード変更は侵害が検出された場合、もしくは365日経過時のみに限定されています。

パスワードの長さに関する要件も強化され、最小12文字から16文字が推奨されるようになっています。これは従来の8文字という基準から大幅な強化となっています。また、複雑性要件に関する考え方も変化し、大文字、小文字、記号などの強制的な組み合わせよりも、より長いパスフレーズの使用を優先する方針が示されています。

FDA 21 CFR Part 11の現行要件

FDA規制における21 CFR Part 11では、以下のパスワード管理義務が継続して存在しています。

システムアクセスにおける固有のID/パスワードの組み合わせ管理が必須とされており、これらの定期的なチェックと更新が要求されています。ただし、具体的な更新期間については明確な規定がありません。また、デバイスの紛失時には即時の無効化手順の実装が必須となっています。

業界での一般的な慣行として90日周期でのパスワード変更が広く普及していますが、これは規制文書で明示的に要求されているものではありません。公式ガイドラインでは、「定期的」という表現の具体的な解釈は、各組織のリスク評価に基づいて判断することが認められています。

最新のセキュリティ対策要件

多要素認証(MFA)の位置づけ

NIST 2025年ガイドラインではパスワードレス認証への移行を推進しています。また、PCI DSSにおいてはMFAを導入することで、パスワード有効期限の要件が免除される可能性が示されています。

アカウントロックアウト要件の厳格化

Windows Server 2025のベースラインセキュリティ設定では、ログイン試行回数が3回に厳格化されています。これは、ブルートフォース攻撃に対する防御を強化する動きを反映しています。

監査ログの重要性

21 CFR Part 11において、電子記録の完全性を確保するための監査が義務付けられています。これには、アクセスログ、システム変更履歴、認証試行の記録などが含まれます。

FDA査察対応における具体的な注意点

規制要件と最新セキュリティ知見の整合性

NISTの最新ガイドラインとFDA要件の間には、いくつかの重要な相違点が存在します。

パスワード変更周期について、FDAは「定期的な」更新を要求していますが、NISTは365日以上の期間を推奨しています。また、パスワードの複雑性に関して、FDAは複数の文字種の使用を要求しているのに対し、NISTはパスワードの長さを優先する方針を示しています。

リスクベースアプローチの採用

医療機器のクリティカル度に応じて、セキュリティ要件を調整することが推奨されます。具体的には、パスワード長を15文字以上とし、変更周期については90日から365日の範囲で、システムの重要度に応じて適切に設定することが望ましいです。

推奨される実装アプローチ

ハイブリッドポリシーの採用

クリティカルシステムに対しては、90日周期での変更と12文字以上のパスワード長、さらにMFAの導入を組み合わせることが推奨されます。一般システムについては、365日周期での変更と15文字以上のパスフレーズの使用が適切です。

文書管理の具体的要件

パスワードポリシーには「NIST 800-63B 2025準拠」との明記が必要です。また、設定した変更周期の根拠について、リスク評価文書での明確な説明が求められます。

技術的対策の実装

NIST 2025で強く推奨されているパスワードマネージャーの導入を検討すべきです。また、Have I Been Pwnedなどのサービスと連携した侵害パスワード検知システムの実装も推奨されます。将来的な対応として、NISTが推奨する量子コンピュータ耐性を持つ暗号アルゴリズムの採用も検討が必要です。

統合的アプローチの重要性

現在の規制環境において、NISTの最新知見とFDA要件を両立させるためには、技術的実現可能性と規制順守のバランスを取る統合的なアプローチが不可欠です。特に医療機器分野では、IEC 62304との整合性を確保しつつ、ISO 27001 Annex A.9.4の認証情報管理を参考にしたポリシー設計が推奨されます。

組織は定期的にセキュリティポリシーを見直し、最新の脅威や規制要件に適応させていく必要があります。特に、量子コンピューティングの進展やパスワードレス認証の普及など、急速に変化する技術環境に対応できる柔軟な体制づくりが重要です。

Sign in to Reply
Replying as Submit

関連記事一覧