ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

パスワードの定期的な変更は不要との見解がありますが、テストで「定期的な変更」が「正」となってるのはどうしてですか。

2020/05/25

「定期的な社員教育」のテスト内容について質問です。

パスワードの定期的な変更は不要との見解がでていると思いますが、テストでは「定期的な変更」が「正」となってるのは、どうしてでしょうか。
(※2019版アップグレード)

ご指摘のとおり、総務省やNISTによって示された要件を満たしていればパスワードの定期変更は不要ともいえます。

総務省では、英語と数字の混在したパスワードを推奨しており、NISTでは、細かなパターン分けされた多くのルールや条件に従うこととなっています。
(ちなみに、総務省は、パスワードを変更する行為そのものが危険なわけではなく、「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題です」と示していることに注意。)

しかし、パスワードが漏えいした事実が確認できなければ定期変更は不要となっていることを考えると、自分の知らない間に漏えいしていた場合も想定すると、パスワードが漏えいしているかどうかを調査する必要性もあります。

そうなると、「定期的な変更」は、調査よりも簡易で効果がある方法ともなります。

実際は、パスワード定期変更の可否による問題が明確になっておらず、国や時代によっても方針が異なることも考えられ、こうすればいいといった明確な解がないとも言われ、結果「定期的な変更」は正しいとも、間違いとも言い切れないようです。

実際、いくつかのインターネットバンキングなどのサービスでは、現在もパスワードの定期的な変更を求める仕組みをとっています。

なお、ご指摘のとおり、「定期的な変更」が「正」と勘違いされるような質問がありましたので、以下のとおり訂正させていただきたいと思います。

お手数をおかけしますが、どうぞよろしくお願いいたします。

—–(訂正後)——
管理番号:(262) 問題362

問題文
パスワードは、他のサービスで使用しているパスワードと同じものをできるだけ長く使い続けるべきです。

解説
パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

—–(訂正後)——
管理番号:(252) 問題349

問題文の選択肢
□ C パスワードを外部に漏らさない。