ウェブサービスに関するID・パスワードの管理・運用実態調査結果
2015年8月13日
省庁・団体名
総務省
概要
総務省は、この度ウェブサービスを提供する企業におけるID・パスワードの管理・運用実態について調査した結果を取りまとめましたので公表します。
内容
1 背景
現在、インターネットショッピングやインターネットバンキング、ソーシャルネットワーキングサービス等、インターネットを通じて様々なサービスが提供されています。
総務省では、ウェブサービスにおいて利用者を確認する主な手段としてID・パスワードが利用されていることを踏まえ、ウェブサービスを提供する企業におけるID・パスワードの管理・運用実態について調査を行いました。
2 結果概要
- 約9割のサービスで3種類以上の文字種をパスワードとして利用できる
パスワードとして利用可能な文字種(大文字・小文字・数字・記号)について、約9割が3種類以上利用可能であり、6割近くが4種類利用可能である等、大半のサービスで複数の文字種の組み合わせによるパスワードの設定が可能となっている。 - パスワードの最大桁数が12桁未満のサービスが約4分の1存在する
パスワードとして設定可能な最大桁数について、12桁以上のパスワードを設定できないサービスが25%あり、中には8桁未満のパスワードしか設定できないサービスもある等、一定のサービスで利用者が長いパスワードを設定したい場合に設定できない状況になっている。 - パスワードのハッシュ化の実施率が低い
管理するパスワードの流出に備えた難読化対策であるハッシュ化※1について、全体で4割以上のサービスがパスワードのハッシュ化を行っておらず、特に無料のサービスでは7割がハッシュ化を行っていない。
※1 パスワードのハッシュ化とは、パスワードの文字列の内容を別の文字列に不可逆的に変換することを指します。 - 同一IPアドレスからのログイン試行回数制限の実施率が低い
ブルートフォース攻撃※2への対策の1つである、同一IDからのログイン失敗回数制限は8割以上が実施しているのに対し、リバースブルートフォース攻撃※3への対策の1つである同一IPアドレスからのログイン試行回数制限は、実施率が約4割に留まっている。
※2 ブルートフォース攻撃とは、同一IDに対してパスワードを変えながらログインを試行する攻撃を指します。
※3 リバースブルートフォース攻撃とは、同一のパスワードに対してIDを変えながらログインを試行する攻撃を指します。
調査結果のポイント及び詳細については以下の公表資料をご参照ください。
3 公表資料
詳細
お問い合わせ
情報流通行政局情報セキュリティ対策室
担当:堀川課長補佐、本田対策係長、中村調査員
TEL:03-5253-5749