総務省がパスワード定期変更に関する否定的見解を出しました
こんばんは。今日は少々自分用メモ風味なネタになります。以前、パスワードの定期変更はあまり意味をなさないというような研究者の発言を受けた記事を書いた記憶があります。ある意味、その続編になるかもしれません。以下は総務省のページです。
安全なパスワード管理|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト
上記の記事によると、2017年にNISTから「パスワードの定期変更はしない方が望ましい」という見解が出され、日本でも「定期変更は必要がなく、パスワード流出時に変更するように」という風にNISCからのアナウンスがありました。
現状でもパスワードの定期変更を強制されている組織も少なくないのではないかと思います。そのような運用をしている組織は早急にポリシーを変更すべきでしょうね。
厚生労働省の「医療情報システムの安全管理に関するガイドライン」に関しては、明示的に記述されていないことを書いた昨年夏の記事を挙げておきます。
karasuma-kitaoji.hatenablog.com
NISCも総務省もパスワード定期変更に否定的な見解を示してきましたので、厚労省サイドもガイドラインを変更してくる可能性も十分にありそうです。もう少し様子を見てみようと思います。