i5/OS V5に備わっているパスワード関連機能を使いこなそう

i5/OS V5 に備わっているパスワード関連機能を使いこ
なそう
パスワード設定の基準
ISO17799（JIS X 5080）など、セキュリティー関連の標準化ドキュメントには良質なパスワードの
条件として以下のような項目が挙げられています。
1. 数ヶ月おきなど定期的にパスワードを変更する。
2. パスワードは最短 6 文字以上とする。
3. パスワード・ルールは以下のようにする。
・覚えやすい（紙などにパスワードを書かなくてもよいもの）
・ユーザーの関連情報（名前、電話番号、誕生日等）から、容易に推測できないもの
・連続した同一文字は避ける
・アルファベットと数字の両方を含む
4. 同じパスワードを繰り返して何度も使用しない。
・2～3 個の決まったパスワードを順番に使用しないようにする。
5. 最初に仮パスワードを発行し、最初のログイン時にパスワードをユーザーが変更するよう
な運用とする。
6. ユーザーID/パスワードは個人毎に別々とし、複数のユーザーで共用しない。
i5/OS（OS/400 V5）の機能では、上記のようなパスワード管理をするために必要なシステム値を
用意しています。
OS/400 におけるパスワード関連システム値
1. QPWDEXPITV パスワード有効期間

*NOMAX または日数 1～366 を指定します。

デフォルトは*NOMAX となっていますが、これは過去の OS/400 バージョンとの互換性保
持のためで、現在のセキュリティー環境で は*NOMAX は推奨されません。数カ月単位で
のパスワード変更を推奨します。ユーザーはパスワード有効期限の 7 日前のサインオン
時に警告をうけとります。有効期限を過ぎると、ユーザープロファイルの PWDEXP パラ
メーターが*YES に変更されます。

PWDEXP パラメーターが*YES のユーザーID でサインオンすると、図 1 のようなパスワー
ド有効期限切れのサインオン情報が表示され、図 2 の ようなパスワード変更を要求する
画面が表示されます。ユーザーは図 2 の画面でパスワードを変更しない限り、システムに
サインオンする事ができません。
図1
図2
この機能を利用して、ユーザーID 作成後ただちに PWDEXP パラメーターを*YES に変更すると、
ユーザーの初回ログオン時に必ずユーザーID を変更させる運用が可能となります。
2. QPWDLMTAJC パスワード中の隣接した数字の制限

0＝使用可能、1＝使用不可能

デフォルトは 0 となっていますがこれは過去の OS バージョンとの互換性保持のための設
定であり、現在のセキュリティー環境では必要に応じて 1 にする事が推奨されます。

このシステム値を 1 にすると、PASS11 のような同じ数字を続けたパスワードの使用がで
きなくなります。
3. QPWDLMTCHAR パスワード中の文字の制限

デフォルトは*NONE＝パスワードに使用可能な文字制限なし、最大 10 個のパスワード中
で使用不可とする文字を指定できます。

このシステム値に指定可能な文字（つまりパスワード中で使用可能な文字）は A～Z,0～
9,特殊文字#,$,下線（_）,@です。
4. QPWDLMTREP パスワード中の反復文字の制限

0＝反復可能、1＝反復不可能、2＝連続反復不可能

1 にするとパスワード内に同じ文字を 2 文字以上含める事ができなくなります。
（違反パスワードの例）PASS12 PAS12S

2 にするとパスワード内で同じ文字を使用することはできますが、連続して同じ文字を指
定できなくなります。（例）PASS12 はパスワード違反、PAS12S はパスワードとして適合

デフォルトは 0 ですが、現在のセキュリティー環境では必要に応じて 2 または 1 に変更
する事が推奨されます。

このシステム値は即時に変更が有効となります。
5. QPWDLVL パスワード・レベル

デフォルトは 0＝パスワード長は 1～10 文字。2 ではパスワード長を 1～128 文字で指定
可能

1 にするとパスワード長は 1～10 文字ですが、Windows 95/98 Me からネット・サーバー
が利用不可になります。

2 にするとパスワード長は 1～128。大文字・小文字を識別。パスワードに使用可能な文
字の制限なし（ただし第一文字目のアスタリスク（＊）と最後のブランクを除く）かつ
Windows 95/98 Me からネット・サーバーが利用可能です。

パスワードルールを準拠させれば、QPWDLVL を 2 から 1 または 0 に戻す事が可能です。

3 にするとパスワード長は 1～128。大文字・小文字を識別。パスワードに使用可能な文
字の制限なし（ただし第一文字目のアスタリスク（＊）と最 後のブランクを除く）。かつ
Windows 95/98 Me からネット・サーバーが利用不可になります。また、一度 QPWDLVL
を 3 にすると QPWDLVL を 0 または 1 に戻す事ができなくなりますので注意が必要です。

0 は OS/400 V5R4 以前の iSeries,AS/400 システムと通信する場合、Windows 9x/Me
と通信する場合、必要がある場合に指定します。

このシステム値は次回 IPL 後に変更が有効となります。

システム値 QPWDLVL を 2 または 3 に変更する場合には、事前にマニュアル「OS/400
機密保護解説書」またはインフォセンターを参照して変更点を十分に評価する必要があり
ます。
6. QPWDMAXLEN 最大パスワード長

QPWDLVL が 0,1 の場合 1～10 を指定

QPWDLVL が 2,3 の場合 1～128 を指定
7. QPWDMINLEN 最小パスワード長

QPWDLVL が 0,1 の場合 1～10 を指定

QPWDLVL が 2,3 の場合 1～128 を指定

現在の一般的なセキュリティー環境では 6 文字以上を指定することを推奨
8. QPWDPOSDIF パスワード文字位置の制限

デフォルトは 0＝パスワード文字位置について新パスワード・旧パスワードで制限なし

1＝パスワード文字位置について制限あり。たとえば旧パスワードが PWD12A の場合、
新パスワードを WRD23B と指定すると CPF22C8 のエラーとなります。（‘D’が同じ 3 桁目
にあるためエラーとなる）
9. QPWDRQDDIF パスワードに数字が必要

0＝パスワードに数字は必須でない。1＝パスワードに数字が必須

1 に設定して数字を含めないパスワードに変更しようとすると、CPF22C9 のエラーとなり
ます。
10. QPWDRQDDIF 重複パスワード制御

0＝新しいパスワードは以前のパスワードと同じでもよい。

1＝新しいパスワードはそれ以前に変更した最近のパスワード 32 個の値と異なる必要が
あります。

2＝新しいパスワードはそれ以前に変更した最近のパスワード 24 個の値と異なる必要が
あります。

3＝新しいパスワードはそれ以前に変更した最近のパスワード 18 の値と異なる必要があ
ります

4＝新しいパスワードはそれ以前に変更した最近のパスワード 12 個の値と異なる必要が
ります。

5＝新しいパスワードはそれ以前に変更した最近のパスワード 10 個の値と異なる必要が
あります。

6＝新しいパスワードはそれ以前に変更した最近のパスワード 8 個の値と異なる必要が
あります。

7＝新しいパスワードはそれ以前に変更した最近のパスワード 6 個の値と異なる必要が
あります。

8＝新しいパスワードはそれ以前に変更したパスワード 4 個の値と異なる必要がありま
す。

デフォルトは 0。現在のセキュリティー環境では 1～8 のいずれかに変更することを推奨し
ます。