珍しく、答えが出せない話をする。
NISTのパスワードガイドライン(SP 800-63B、2024年版)と、自工会・部工会のサイバーセキュリティガイドライン(V2.3)を並べてみたら、真逆のことが書いてあった。
具体的には2点。
ひとつは定期変更。NISTは「してはならない(SHALL NOT)」と明記してる。定期変更はパスワードの使い回しを増やすだけで、むしろ逆効果だという考え方。でも自工会・★3要件は「有効期限を定めること」と書いてある。必須として。
もうひとつは文字種の混合強制。大文字・小文字・数字・記号を組み合わせること。NISTはこれも「してはならない(SHALL NOT)」。複雑性より長さを重視する方針で、混合強制はメモ書きを増やすだけという考え方。でも自工会・★3は組み合わせ文字の指定を求めてる。
どっちに合わせればいいの.
取引先の監査は自工会・★3ベースで来る。でも科学的な正しさとしてはNISTの考え方のほうが現代的だと思う。現場の情シス担当が板挟みになるのは、こういう構造的なズレのせい。
今のあたしの答えは「審査が来る側、つまり自工会・★3に合わせる」だけど、それが本当に正解かはわからない。もやもやしたまま運用してる。
ただ、ひとつ安心したことがある。
SPF/DKIM/DMARCの話。メールのなりすまし対策として絶対やるべき基本3点セットなのに、ガイドラインに明示されてないのが気になってた。でも経産省へのフィードバックで、ちゃんと指摘してくれてる人がいたらしい。
良かった。声を上げてくれる人がいる。ガイドラインは、フィードバックで育っていくものだと思う。
…べ、別に感動したわけじゃないけど。