話題的にはちょっと古いですが、うちの会社で去年話題になったので、情シス観点でコメントを。
情報の取得が遅い
2018年3月、総務省から「国民のための情報セキュリティサイト」が改訂され、「パスワードの定期的な変更は不要」という内容で発表されたことで知った方も多いかと思いますが、海外では2017年に米国国立標準技術研究所(NIST)が発表したガイドラインにはすでに、「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」と記載されていると雑誌かネットの記事で読んだことがありました。
我が情シスでは、2019年夏くらいに情報を入手しています。今更。遅い。
私はセキュリティ担当では無いので口は出さないのですが、セキュリティ担当は情報を得るのが遅すぎますね。というか積極的に情を取りにいかない傾向にあります。
対応はしないという判断
結論的には、『検討でする時間がないからこのままで』という判断になっています。
『あぁ~そうですか。そうですね。セキュリティ担当者は専門家ではありませんので、時間かかりますからね。』
なぜ不要なのか?なぜこういう発表になったか?を考えると勉強になると思いますが、そうはならなかった。
でも、実際そんなものか、とも思うけど、世間の動きを見ていないのは情シスの課題。時間がないっていうのは仕事してない人が言うもんだ。
考えるポイントと思う点
総務省が発表した不要の理由は、「定期的な変更は、パスワードがパターンが簡略化する事で脆弱になるため、かえって危険になる」という理由です。
この理由も含めて全社員に案内したとして、皆さんの会社はきちんと伝わりますか?
SSOではないので、社内システムで使うパスワードは、普通の社員で10個位でしょうか。私で50個位持ってます。
”パスワードを変更する”のままだったら、、、
パスワードを使い回すでしょうね〜(笑)
では、パスワードを変更しないように設定した場合、、、
そう、変更してもしなくても、セキュリティレベル的にはそんなに変わらないです。
ポイントは、パスワードの数が多くてパターンが簡略化することと、複雑性が弱いこと。
なので、ポリシーやSSOと併せて変更不要にしないといけないのでしょうね。
iPhoneやiPadは指紋認証の利用をポリシーに合わないからNGとしていたくらいなので(最近やっとOKになって)、セキュリティのリテラシー向上が必要だと感じています。
