当センターのプライバシーマーク付与適格性審査におけるパスワードの定期的な変更について

　

　複数の公的専門機関において「パスワードの定期的な変更」に関する方針見直しが行われています。
パスワードの管理として、安全なパスワードの設定、パスワードを複数のサービスで使いまわさない等が求められており、パスワードの定期的な変更は不要とされています。
 

　当センターのプライバシーマーク付与適格性審査においても、セキュリティ対策の環境の変化に鑑み、パスワードの定期的な変更を行わないことのみを理由にして受審事業者に指摘し改善を求めることはいたしません。ただし、規定に定期的な更新が文書化されている。PWの文字桁数や文字種類等の設定が不適切な場合は改善を求めます。

　リスクを考慮した安全なパスワードとして１０桁以上４種混合文字等（英大文字、英小文字、数字、記号の指定及び安全性を考慮したパスワード長）を規定し、運用することが求められます。

◇内閣サイバーセキュリティセンター　「インターネットの安全・安心ハンドブック」
     P114　「1.8パスワードの定期変更は基本は必要なし。ただし流出時は速やかに変更する」

　https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-all.pdf

◇総務省　国民のためのサイバーセキュリティサイト　
   ・安全なパスワード管理

https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_staff_01.html