Doctor Web Pacific 江川です。
ZDNet Japanで表記の情報が公開されましたので、ご紹介します。
アメリカ政府セキュリティ専門家「NIST」の職員が、「Cybersecurity Basics」というページを公表しました。
「Cybersecurity Basics」は、中小企業のオーナーやマネージャー向けにまとめられたガイドラインになります。
この「Cybersecurity Basics」とCISA(米サイバーセキュリティ・インフラセキュリティ庁)が運営している「Secure Our World」を参考にして、パスワードに関する7つのルールをまとめたニュースになります。
「NIST」とは、National Institute of Standards and Technologyの略称になり、日本では米国立標準技術研究所と呼ばれる政府機関になります。
その「NIST」には、ITL(Information Technology Laboratory)という情報技術に関する研究を行っているラボがあり、その中でもCSD(Computer Security Division)部門では情報セキュリティに関する研究や、各種文書・ガイドラインの発行を行っています。
<7つのルール>
- すべてのパスワードを十分な強度にする
- パスワードマネージャーを使用する
- パスワードの使い回しは絶対にしない
- パスワードのヒントを追加しない
- デフォルトのパスワードを変更する
- 多要素認証を可能な限り使用する
- 必要がない限りパスワードを変更しない
7番目ににある「必要がない限りパスワードを変更しない」を新たな認識として確認していただきたい内容になっています。
その理由は、「理由もなくユーザーにパスワードの変更を要求する組織は、実際にはネットワークの安全性を定価させている」になります。
1~6番目を行っていれば、定期的な変更により、推測しやすい脆弱なパスワードを選び傾向があります。
また、そのパスワード変更する情報を入力する画面自体が攻撃者が作成した画面の可能性があります。
詳しくはニュース本文をご確認ください。
(ニュース本文は以下をご覧ください)
https://japan.zdnet.com/article/35226001/
