個人情報保護委員会の行政機関等向け研修資料にパスワード定期変更を求める記述があったことが話題になっていたのでメモ。
資料としてはこれでしょうか。

• 行政機関等向け研修資料等 ｜個人情報保護委員会

なお、パスワードの定期的な変更については「管理者がユーザーにパスワードの定期的な変更を求めるべきでない」という記載があるNIST SP 800-63B の改訂を受けて、国内でも 2017 年ごろから NISC が発行する資料には定期的な変更は求められなくなっています^*1。

個人情報保護委員会が公開の研修資料、「パスワードの定期的な見直し」にツッコミ相次ぐ【やじうまWatch】 - INTERNET Watch

「情報システムのパスワードは（略）年１～２回の頻度で定期的に変更する」という記述に加えて、同時に公開されている保護管理者・担当者向け資料では「情報システムのアクセス制御及びパスワードの定期的な見直しを行っているか」に留意する必要があるとされており、ネットではツッコミが相次いでいる。

• ^*1: 「十分に複雑で使い回しのないパスワードを設定した上で、実際にパスワードを破られアカウントを乗っ取られたり、サービス側から流出したりした事実がないのならば、基本的にパスワードを変更する必要はありません。」(NISC, ”インターネットの安全・安心ハンドブック Ver5.00," p.115)

このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/13858