kintoneで適用できるパスワードポリシー

こんにちは、エミックの松尾です。kintoneでは各企業のポリシーに応じて設定できるようにさまざまなセキュリティに関わる機能が提供されています。kintoneを安心して使えるように、不正ログイン防止の一環として、企業のセキュリティポリシーにあわせてさまざまなパスワードポリシーを適用できます。今回の記事では、2020年4月現在においてkintoneで適用できるパスワードポリシーについて記しています。

kintoneで行われているセキュリティ関連の対策

kintoneではクラウドサービスを安全に使えるようにさまざまな対策が行われていて、kintoneのセキュリティや運用体制について説明されているカタログ「cybozu.com セキュリティ&運用基盤」がサイボウズ社のWebサイトでPDFファイルとして配布されています。

セキュリティ｜サイボウズのクラウドサービスについて　cybozu.com

kintoneでは、通常のログイン画面にBasic認証でさらにアクセス制限をかけることや、アクセスできるIPアドレスを限定することが可能です。また、クライアント証明書によって接続元を認証する有料オプションサービスも用意されています。詳細については上述のカタログを参照してください。

cybozu.com共通管理者がパスワードポリシーを設定可能

kintoneでは、不正ログイン防止の一環として、各企業のポリシーにあわせてさまざまなパスワードポリシーを適用できるようになっています。

パスワードポリシーは、cybozu.com共通管理者の権限を持っているユーザーであれば変更可能です。パスワードの変更やリセット、最低文字数、複雑さ、有効期間などに関するポリシーを設定することができます。

cybozu.com ヘルプ

パスワードポリシーに関する設定項目は、cybozu.com共通管理画面において［セキュリティ］の［ログイン］をクリックして表示される画面内にあります。

なお、cybozu.com共通管理画面は、kintoneにログインした後に［cybozu.com共通管理］をクリックすると表示されます。

変更やリセットに関するパスワードポリシー

kintoneのパスワードポリシーに関する設定では、パスワードの変更やリセットをユーザーに許可するかどうか、次回のログイン時にパスワードの変更を要求するかどうかを設定できます。

［パスワードの変更をユーザーに許可する］、［管理者が設定した仮パスワードの変更をユーザーに要求する］および［パスワードのリセットをユーザーに許可する］の初期値はそれぞれ「有効」です。

最低文字数や複雑さに関するパスワードポリシー

kintoneのパスワードポリシーに関する設定では、ユーザーパスワードおよび管理者パスワードの最低文字数や複雑さを設定できます。

［ユーザーパスワードの最低文字数］および［管理者パスワードの最低文字数］の初期値はそれぞれ「8」文字です。また、［複雑さ］の初期値は「アルファベットと数字を含める」、［ログイン名と同じパスワードの使用をユーザーに許可する］の初期値は「無効」です。

なお、［管理者パスワードの最低文字数］は、cybozu.com共通管理者パスワードの最低文字数を設定するための設定項目です。

再利用の制限回数や有効期間に関するパスワードポリシー

kintoneのパスワードポリシーに関する設定では、パスワード再利用の制限回数や有効期間を設定できます。

［パスワード再利用の制限回数］の初期値は「1回前（現在のパスワード）」、［有効期間］の初期値は「1年間」です。

パスワードの定期的な変更は不要

kintoneではパスワードの有効期間は「1年間」が初期値になっていますが、これはパスワードの定期的な変更が以前推奨されていたためであると思われます。

昨今ではパスワードの定期的な変更は不要とされています。例えば、総務省が運営している“国民の​ための情報セキュリティサイト”では、“実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。”と言及されています。

設定と管理のあり方｜IDとパスワード｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト

パスワードの定期的な変更が不要と案内されるようになったのは、パスワードの定期的な変更により、パスワードの生成方法がパターン化して簡単なものになったり、パスワードの使い回しを招いたりするためです。そのため、パスワードの有効期間は「1年間」から「無期限」に変更した方が良いと思われますが、その際は複数のサービスでパスワードを使い回さないようにユーザーに案内する必要があるでしょう。

まとめ

2020年4月現在においてkintoneで適用できるパスワードポリシーについて解説しました。kintoneでは、不正ログイン防止の一環として、さまざまなパスワードポリシーを適用できるようになっています。cybozu.com共通管理者の権限を持っているユーザーが、kintoneのパスワードポリシーを設定することが可能であり、パスワードの変更やリセット、最低文字数、複雑さ、再利用の制限回数、有効期間などを変更できます。詳細については、kintoneのセキュリティや運用体制について説明されているカタログ「cybozu.com セキュリティ&運用基盤」やcybozu.com ヘルプを参照してください。