パスワード管理ポリシー
1. 基本原則
- 機密はBitwardenの共有ボルトで管理(個人端末メモ・DM共有は禁止)
- 2段階認証(2FA)必須:主要サービスはTOTP/Security Keyを有効化
- 最小権限:役割に必要な最小アクセスのみ付与
- 公開情報と秘密情報を分離:公開Wikiには具体的なID/URL/招待リンクを載せない
2. ボルト構成(例)
Finance(会計):銀行/クラウド請求Web&Infra:ドメイン/サーバ/メールSocial:SNSDesign:Adobe/フォント 等
各ボルトのオーナー:代表+会計、管理者:運用担当、メンバー:必要者のみ
3. パスワード要件
- 12文字以上、生成器を使用、使い回し禁止
- 共有時は項目共有のみ。生パスのテキスト貼付禁止
4. ライフサイクル
- 入部時:閲覧権限から付与、必要に応じ編集権限
- 役職就任時:対象ボルトに昇格、2FA確認
- 退会/役職交代時:権限剥奪→即日ローテーション
5. ローテーション基準
- 代表・会計交代/情報漏えい疑義/退会者発生 → 即時ローテ
- 定期ローテ:四半期ごとに重要アカウントを対象
6. 事故対応(概要)
- 迅速な報告 → 一時停止 → 強制ログアウト → ローテ/監査ログ確認
詳細手順は内部手順書参照(非公開)