ヘルプセンター
background
セキュリティ

パスワードポリシーに関するよくある質問

対象:
労務管理プラン(旧スモールプラン)人事・労務エッセンシャルプラン(旧スタンダードプラン)プロフェッショナルプラン¥0プラン人材マネジメントプランHRストラテジープラン

本ページでは、パスワードポリシーに関するよくある質問を紹介します。

目次

パスワードポリシーに関する質問

Q. SmartHRのパスワードポリシーは、どのような基準で定めていますか?

A. NIST(米国政府の基準)および内閣官房 内閣サイバーセキュリティセンター(NISC) の基準を参考に、セキュリティ面と利便性とのバランスを加味して定めています

各基準との比較は下記のとおりです。

 NIST SP800-63B内閣サイバーセキュリティセンター(NISC)SmartHR
(2022年2月16日以降)
最小文字数ユーザー設定の場合は8文字
ランダム生成の場合は6文字(全て数字も可)
ログインパスワード(Webサービス等に使うもの)の場合、10文字以上
暗号キー(パスワード付きのファイルや記憶媒体に使うもの)の場合、15文字以上
10文字以上
最大文字数64文字以上-72文字
文字の種類制限をするべきではない
(システムはスペースを含む全てのASCII印字可能文
字、Unicode文字を許容するべき)
英大小文字+数字+記号26種で合計88種制限なし
パスワードの有効期限定期変更を要求するべきではない
事故などがあった場合は変更を強制する
基本的にパスワードの定期変更の必要はない
パスワードが流出したらすぐに変更する
有効期限なし
パスワードの定期的な変更は不要
パスワード連続変更禁止期間---
過去に使用したパスワードの禁止---
禁止パスワード・過去に漏洩したリストにあるもの
・辞書に含まれる言葉
・繰り返しや連続した文字(aaaaa, 1234abcd)
・サービス名、ユーザー名、それらの派生など
パスワードの使い回しや、似たパスワード、個人情報などから推測できるパスワード
を使わない
外部データベースのAPIを利用して、過去に他のウェブサイトで漏洩したことが確認されているパスワードを禁止パスワードとして設定
アカウントロックまでの失敗数100回以下
ロックする前にCAPTCHAを表示したり、遅延時間を入
れても良い
-パスワードを間違った場合、10回でロックする
(5回以上間違った場合「あと何回でロック」というメッセージあり)
アカウントロックの期間---
参考資料NIST Special Publication 800-63B Digital Identity Guidelines(翻訳版) Authentication and Lifecycle Management(2017)|NISTインターネットの安全・安心ハンドブック(2021年12月31日 Ver.4.20)| 内閣官房 内閣サイバーセキュリティセンター(NISC)-

Q. 文字の種類に制限がないのはなぜですか?

A. セキュリティに関する最新のトレンドでは、文字の種類を制限するよりも、文字数が長いパスワードを推奨しているためです

Q. パスワードの有効期限について、「有効期限なし。パスワードの定期的な変更は不要」としているのはなぜですか?

A. 下記の記事を参照してください

「定期的なパスワード変更」の歴史とは? 安心してSmartHRを使うためのTipsもご紹介|SmartHR Mag.

Q. 禁止パスワード(ブロックリスト)はどうやって設定されていますか?

A. 外部データベースのAPIを利用して、過去に他のウェブサイトで漏洩したことが確認されているパスワードを禁止パスワード(ブロックリスト)として設定しています

2022年2月からの新しいパスワードポリシーへの移行に関する質問

Q. パスワードの変更対象は誰ですか?

A. SmartHRを利用しているすべてのユーザー(管理者、従業員(退職済み従業員も含む))です

Q. パスワードの変更期限はありますか?

A. はい。新しいパスワードへの移行期間は、2022年2月16日〜2022年5月19日までです

移行期間中に、自身でパスワード変更をお願いします。

移行期間中に新しいパスワードに変更しなかった場合は、次回ログイン時に新しいパスワードを設定する画面に自動で移動します。

Q. ログイン後にパスワード設定画面が表示される場合は?

Q. 既存のパスワードが新しいパスワードポリシーを満たしている場合も変更は必要ですか?

A. はい。必要です

現在、新しいパスワードポリシーを満たしたパスワードを設定している場合も、パスワード変更の対象となります。

ただし、同じパスワードを再設定して継続利用が可能です。

パスワードの変更手順を教えてください。

A. 下記のヘルプページを参照してください

Q. ログイン後にパスワード設定画面が表示される場合は?

Q. 管理者が設定する社員番号アカウントの初期パスワードも、最小文字数が10文字に変更になりますか?

A. いいえ。社員番号アカウントの初期パスワードは、最小文字数が8文字のまま変更ありません

管理者が設定した8文字の初期パスワードを従業員が変更する際には、10文字以上でパスワードを設定することになります。

なお、従業員が設定したパスワードを忘れて管理者がリセットする場合は、初期パスワード(8文字で設定していた場合は8文字)に戻ります。

Q. 変更したパスワードを忘れてしまった場合、どうすればよいですか?

A. 下記のヘルプページを参照してください

「ログイン用のパスワードを忘れてしまった場合」と、「社員番号を使ってログインをしていて、ログイン・通知用メールアドレスが未登録の状態でパスワードを忘れてしまった場合」で対応方法が異なります。

詳しくは、下記のヘルプページを参照してください。

パスワードを忘れてしまったら?

社員番号アカウントのパスワードを忘れてしまったら?