パスワードの定期的な変更は不要との見解がありますが、テストで「定期的な変更」が「正」となってるのはどうしてですか。
「定期的な社員教育」のテスト内容について質問です。
パスワードの定期的な変更は不要との見解がでていると思いますが、テストでは「定期的な変更」が「正」となってるのは、どうしてでしょうか。
(※2019版アップグレード)
ご指摘のとおり、総務省やNISTによって示された要件を満たしていればパスワードの定期変更は不要ともいえます。
総務省では、英語と数字の混在したパスワードを推奨しており、NISTでは、細かなパターン分けされた多くのルールや条件に従うこととなっています。
(ちなみに、総務省は、パスワードを変更する行為そのものが危険なわけではなく、「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題です」と示していることに注意。)
しかし、パスワードが漏えいした事実が確認できなければ定期変更は不要となっていることを考えると、自分の知らない間に漏えいしていた場合も想定すると、パスワードが漏えいしているかどうかを調査する必要性もあります。
そうなると、「定期的な変更」は、調査よりも簡易で効果がある方法ともなります。
実際は、パスワード定期変更の可否による問題が明確になっておらず、国や時代によっても方針が異なることも考えられ、こうすればいいといった明確な解がないとも言われ、結果「定期的な変更」は正しいとも、間違いとも言い切れないようです。
実際、いくつかのインターネットバンキングなどのサービスでは、現在もパスワードの定期的な変更を求める仕組みをとっています。
以下の「Pマーク運用でパスワードの定期変更は義務ですか?最新基準と実務的な判断基準は?」にて、パスワードの定期変更の有無に関する詳細も記載しております。合わせてご参考ください。
Pマーク運用でパスワードの定期変更は義務ですか?最新基準と実務的な判断基準は?
「今日まで社員全員のパソコンのパスワードを毎年変更していましたが、Pマーク保有企業においては、それは義務でしょうか?
または、1年に1回でなくても、何年ごとにとか縛りはあるのでしょうか?それとも全く変更しなくてもPマーク的には指摘事項ではないでしょうか?」
※上記質問への回答は、こちら(ISM Web store サポートブログ)をご覧ください。
なお、ご指摘のとおり、「定期的な変更」が「正」と勘違いされるような質問がありましたので、以下のとおり訂正させていただきたいと思います。
お手数をおかけしますが、どうぞよろしくお願いいたします。
—–(訂正後)——
管理番号:(262) 問題362
問題文
パスワードは、他のサービスで使用しているパスワードと同じものをできるだけ長く使い続けるべきです。
解説
パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。
—–(訂正後)——
管理番号:(252) 問題349
問題文の選択肢
□ C パスワードを外部に漏らさない。
