A.5.17 認証情報

方針

当社は、情報資産への不正アクセスを防止するため、認証情報を適切に管理し、漏えい・不正使用を防止する。

認証情報（ID、パスワード等）は、原則として個人ごとに管理する。

認証情報は、第三者に開示、共有または貸与してはならない。

認証情報は、適切な強度および管理方法により保護する。

共有アカウントの利用は原則として禁止する。

業務上の必要性により共有アカウントを利用する場合は、情報セキュリティ責任者の承認を得たうえで、利用目的および利用可能者を明確にする。

共有アカウントの認証情報については、定期的にパスワードの変更を行う。

BYOD利用時においては、認証情報を個人所有デバイス内に保存しないことを原則とする。

業務システムへのアクセスは、会社指定の認証基盤を用いて行う。

認証情報は、必要に応じて変更する。

退職、契約終了、異動等により不要となった認証情報は、速やかに無効化する。

当社では、Microsoft Entra IDを中心とした認証基盤を用いて、アカウントおよび認証情報の管理を行っている。

原則として、各従業員に一意のアカウントを付与し、個人ごとの認証情報によりシステムへのアクセスを行っている。

共有アカウントについては、業務上の必要性がある場合に限り、承認制のもとで利用しており、定期的なパスワード変更および利用状況の見直しを行っている。