PCI DSS パスワード要件

PCI DSS v4.0 パスワード要件

Payment Card Industry Data Security Standard（PCI DSS）は、クレジットカードデータを処理、保存、または送信する組織のセキュリティ要件を定めています。バージョン4.0ではパスワード要件が大幅に更新されました。

要件8：ユーザーの識別とアクセス認証

最小パスワード長

PCI DSS v4.0は最小パスワード長を引き上げました：

• 要件8.3.6：最低12文字（v3.2.1の7文字から増加）
• システムが12文字をサポートしない場合、最低は8文字

複雑さの要件

NISTとは異なり、PCI DSSは複雑さを義務付けています：

• 要件8.3.6：パスワードには数字と英字の両方を含める必要がある
• 追加の複雑さ（記号、大文字小文字の混合）は推奨されるが厳密には必須ではない

パスワードローテーション

• 要件8.3.9：パスワードは少なくとも90日ごとに変更する必要がある
• 要件8.3.7：新しいパスワードは過去4つのパスワードと一致してはならない

アカウントロックアウト

• 要件8.3.4：10回以下の無効なアクセス試行後にアカウントをロック
• 要件8.3.4：少なくとも30分間のロックアウトまたは管理者によるロック解除

多要素認証（MFA）

PCI DSS v4.0はMFA要件を拡大しました：

• 要件8.4.2：カード会員データ環境（CDE）へのすべてのアクセスにMFA
• 要件8.4.3：すべてのリモートネットワークアクセスにMFA

PCI準拠パスワードの生成

PCI DSS準拠のパスワード生成器は：

1. 12文字以上のパスワードを生成
2. 最低限英字と数字の両方を含む
3. 暗号学的ランダム性を使用
4. パスワードがユーザーの過去4つのパスワードにないことを確認
5. MFAソリューションと組み合わせる

準拠構成例

長さ：    14文字
大文字：  必須
小文字：  必須
数字：    必須
記号：    オプション（推奨）