平成25年度 秋期 ITパスポート試験 問96 解説 パスワードの安全性

パスワードの安全性は「推測しにくさ」で決まります。英字のみや単純な数字の羅列を避け、英大文字・英小文字・数字を組み合わせ、かつ一定以上の長さを持つものを選ぶのが正解です。選択肢の中で、これらを満たし、規則性が少なく推測困難な「W28t53」が最も適切です。

推測されにくいパスワードの条件

パスワードの強度は、攻撃者が総当たり攻撃や辞書攻撃を仕掛けた際に、どれだけ時間を稼げるかによって評価されます。安全なパスワードには以下の3つの要素が重要です。

1. 文字種の多様性：英大文字、英小文字、数字、記号を混ぜることで、攻撃側が試行しなければならないパターンの総数（エントロピー）を飛躍的に高めます。
2. 文字数の長さ：文字数が増えるほど、組み合わせの数は指数関数的に増大します。
3. 推測容易なパターンの排除：単語（appleなど）、誕生日、キーボードの並び（123456など）、ユーザー名と関連性の高い文字列は、辞書攻撃で即座に突破されるため避けるべきです。

選択肢を比較する思考プロセス

各選択肢を分析すると、この問題が何を「安全」と定義しているかが明確になります。

• Da8e9：短く、かつ英字と数字のパターンが単純です。
• Hdfpfgh：英字のみで構成されており、大文字が含まれているものの文字種のバリエーションが不足しています。
• W28t53：英大文字、小文字、数字が適度に混在しており、特定の単語や規則性が薄いため、推測が困難です。
• z32e2bk：英字と数字の組み合わせですが、並びが単純で長さも不十分です。

比較すると、W28t53は他の選択肢に比べて攻撃者が推測するまでのコスト（時間）を最も高く設定できていることがわかります。

実践現場におけるパスワード管理の考え方

試験では「適切なパスワードを選ぶ」ことが求められますが、現実のIT現場では、さらに一歩進んだ考え方が重要です。

近年では、パスワードを「長く複雑にする」だけでなく、「使い回さないこと」と「多要素認証（MFA）を併用すること」が、セキュリティ対策の最優先事項となっています。どんなに複雑なパスワードを設定しても、別のサービスから流出した情報と照合されれば突破されるリスクがあるためです。

この問題は、パスワードの基本的な構成要素を理解しているかを問うと同時に、情報資産を守るための「第一歩としての適切な設定」を意識させる教育的な意図を持っています。実際の業務環境では、これらに加えてパスワード管理ツールの利用や、可能な限りパスワード自体を不要にする認証方式の採用が推奨されます。

参考リンク

• 【ITパスポート】パスワードの安全性と適切な設定方法（ITパスポート勉強サイト）
• パスワードってどう作ればいい？最強パスワードの作り方と管理術（Qiita）
• パスワードに関するガイドライン（情報処理推進機構：IPA）