...

i5/OS V5に備わっているパスワード関連機能を使いこなそう

by user

on
Category: Documents
97

views

Report

Comments

Transcript

i5/OS V5に備わっているパスワード関連機能を使いこなそう
i5/OS V5 に備わっているパスワード関連機能を使いこ
なそう
パスワード設定の基準
ISO17799(JIS X 5080)など、セキュリティー関連の標準化ドキュメントには良質なパスワードの
条件として以下のような項目が挙げられています。
1. 数ヶ月おきなど定期的にパスワードを変更する。
2. パスワードは最短 6 文字以上とする。
3. パスワード・ルールは以下のようにする。
・覚えやすい(紙などにパスワードを書かなくてもよいもの)
・ユーザーの関連情報(名前、電話番号、誕生日等)から、容易に推測できないもの
・連続した同一文字は避ける
・アルファベットと数字の両方を含む
4. 同じパスワードを繰り返して何度も使用しない。
・2~3 個の決まったパスワードを順番に使用しないようにする。
5. 最初に仮パスワードを発行し、最初のログイン時にパスワードをユーザーが変更するよう
な運用とする。
6. ユーザーID/パスワードは個人毎に別々とし、複数のユーザーで共用しない。
i5/OS(OS/400 V5)の機能では、上記のようなパスワード管理をするために必要なシステム値を
用意しています。
OS/400 におけるパスワード関連システム値
1. QPWDEXPITV パスワード有効期間

*NOMAX または日数 1~366 を指定します。

デフォルトは*NOMAX となっていますが、これは過去の OS/400 バージョンとの互換性保
持のためで、現在のセキュリティー環境で は*NOMAX は推奨されません。数カ月単位で
のパスワード変更を推奨します。ユーザーはパスワード有効期限の 7 日前のサインオン
時に警告をうけとります。有効期限を過ぎると、ユーザープロファイルの PWDEXP パラ
メーターが*YES に変更されます。

PWDEXP パラメーターが*YES のユーザーID でサインオンすると、図 1 のようなパスワー
ド有効期限切れのサインオン情報が表示され、図 2 の ようなパスワード変更を要求する
画面が表示されます。ユーザーは図 2 の画面でパスワードを変更しない限り、システムに
サインオンする事ができません。
図1
図2
この機能を利用して、ユーザーID 作成後ただちに PWDEXP パラメーターを*YES に変更すると、
ユーザーの初回ログオン時に必ずユーザーID を変更させる運用が可能となります。
2. QPWDLMTAJC パスワード中の隣接した数字の制限

0=使用可能、1=使用不可能

デフォルトは 0 となっていますがこれは過去の OS バージョンとの互換性保持のための設
定であり、現在のセキュリティー環境では必要に応じて 1 にする事が推奨されます。

このシステム値を 1 にすると、PASS11 のような同じ数字を続けたパスワードの使用がで
きなくなります。
3. QPWDLMTCHAR パスワード中の文字の制限

デフォルトは*NONE=パスワードに使用可能な文字制限なし、最大 10 個のパスワード中
で使用不可とする文字を指定できます。

このシステム値に指定可能な文字(つまりパスワード中で使用可能な文字)は A~Z,0~
9,特殊文字#,$,下線(_),@です。
4. QPWDLMTREP パスワード中の反復文字の制限

0=反復可能、1=反復不可能、2=連続反復不可能

1 にするとパスワード内に同じ文字を 2 文字以上含める事ができなくなります。
(違反パスワードの例)PASS12 PAS12S

2 にするとパスワード内で同じ文字を使用することはできますが、連続して同じ文字を指
定できなくなります。(例)PASS12 はパスワード違反、PAS12S はパスワードとして適合

デフォルトは 0 ですが、現在のセキュリティー環境では必要に応じて 2 または 1 に変更
する事が推奨されます。

このシステム値は即時に変更が有効となります。
5. QPWDLVL パスワード・レベル

デフォルトは 0=パスワード長は 1~10 文字。2 ではパスワード長を 1~128 文字で指定
可能

1 にするとパスワード長は 1~10 文字ですが、Windows 95/98 Me からネット・サーバー
が利用不可になります。

2 にするとパスワード長は 1~128。大文字・小文字を識別。パスワードに使用可能な文
字の制限なし(ただし第一文字目のアスタリスク(*)と最後のブランクを除く)かつ
Windows 95/98 Me からネット・サーバーが利用可能です。

パスワードルールを準拠させれば、QPWDLVL を 2 から 1 または 0 に戻す事が可能です。

3 にするとパスワード長は 1~128。大文字・小文字を識別。パスワードに使用可能な文
字の制限なし(ただし第一文字目のアスタリスク(*)と最 後のブランクを除く)。かつ
Windows 95/98 Me からネット・サーバーが利用不可になります。また、一度 QPWDLVL
を 3 にすると QPWDLVL を 0 または 1 に戻す事ができなくなりますので注意が必要です。

0 は OS/400 V5R4 以前の iSeries,AS/400 システムと通信する場合、Windows 9x/Me
と通信する場合、必要がある場合に指定します。

このシステム値は次回 IPL 後に変更が有効となります。

システム値 QPWDLVL を 2 または 3 に変更する場合には、事前にマニュアル「OS/400
機密保護解説書」またはインフォセンターを参照して変更点を十分に評価する必要があり
ます。
6. QPWDMAXLEN 最大パスワード長

QPWDLVL が 0,1 の場合 1~10 を指定

QPWDLVL が 2,3 の場合 1~128 を指定
7. QPWDMINLEN 最小パスワード長

QPWDLVL が 0,1 の場合 1~10 を指定

QPWDLVL が 2,3 の場合 1~128 を指定

現在の一般的なセキュリティー環境では 6 文字以上を指定することを推奨
8. QPWDPOSDIF パスワード文字位置の制限

デフォルトは 0=パスワード文字位置について新パスワード・旧パスワードで制限なし

1=パスワード文字位置について制限あり。たとえば旧パスワードが PWD12A の場合、
新パスワードを WRD23B と指定すると CPF22C8 のエラーとなります。(‘D’が同じ 3 桁目
にあるためエラーとなる)
9. QPWDRQDDIF パスワードに数字が必要

0=パスワードに数字は必須でない。1=パスワードに数字が必須

1 に設定して数字を含めないパスワードに変更しようとすると、CPF22C9 のエラーとなり
ます。
10. QPWDRQDDIF 重複パスワード制御

0=新しいパスワードは以前のパスワードと同じでもよい。

1=新しいパスワードはそれ以前に変更した最近のパスワード 32 個の値と異なる必要が
あります。

2=新しいパスワードはそれ以前に変更した最近のパスワード 24 個の値と異なる必要が
あります。

3=新しいパスワードはそれ以前に変更した最近のパスワード 18 の値と異なる必要があ
ります

4=新しいパスワードはそれ以前に変更した最近のパスワード 12 個の値と異なる必要が
ります。

5=新しいパスワードはそれ以前に変更した最近のパスワード 10 個の値と異なる必要が
あります。

6=新しいパスワードはそれ以前に変更した最近のパスワード 8 個の値と異なる必要が
あります。

7=新しいパスワードはそれ以前に変更した最近のパスワード 6 個の値と異なる必要が
あります。

8=新しいパスワードはそれ以前に変更したパスワード 4 個の値と異なる必要がありま
す。

デフォルトは 0。現在のセキュリティー環境では 1~8 のいずれかに変更することを推奨し
ます。
Fly UP