Who recommends changeing password periodically
Some say you should change password periodically.
-
8.2.4 Change user passwords/passphrases at least once every 90 days.
プライバシーマーク制度 (JIPDEC)(In Japanese) based on JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版 (JIPDEC)(In Japanese) based on 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (METI)(In Japanese)ID とパスワードを利用する場合には、パスワードの有効期限の設定、同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗した ID を停止する等の措置を講じることが望ましい。
医療情報システムの安全管理に関するガイドライン 第 4.3 版 (MHLW)(In Japanese)認証強度を維持するためには、交付時の初期パスワードの本人による変更や定期的なパスワード変更を義務づける等、システムの実装や運用を工夫し、必ず本人しか知り得ない状態を保つよう対策を行う必要がある。
教育情報セキュリティポリシーに関するガイドライン案 (MEXT)(In Japanese)
パスワードは定期的に又はアクセス回数に基づいて変更し、古いパスワードを再利用してはならない。
I think IPA should have another report that denies the effect of periodic password changing, but I cannot found a such information.
また、破られにくいパスワードを使っていても、長期間変更せずにいると漏えいする危険性が高まります。パスワードは、定期的に(例えば月毎)変更するようにしましょう。
医療情報を受託管理する情報処理事業者における安全管理ガイドライン (METI)(In Japanese)
(14) 医療情報システムへのログオン用パスワードには有効期限の設定を行い、定期的な変更 を作業者に強制すること。
医療情報を受託管理する情報処理事業者向けガイドライン 第 2 版 (METI)(In Japanese)
(3) 医療情報システムへのログオン用パスワードには有効期限の設定を行い、定期的な 変更を作業者に強制すること。
信用分野における個人情報保護に関するガイドライン (PPC)(In Japanese)
※ ID とパスワードを利用する場合には、パスワードの有効期限の設定、同一又は類似パ スワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗 した ID を停止する等の措置を講ずることとする。
Who doesn't recommend changeing password periodically
Some say you don't have to (or should not) change password periodically.
-
- Eliminate mandatory periodic password resets for user accounts.
- In Japanese: マイクロソフトのパスワードに関するガイダンス
- ユーザーアカウントの定期的なパスワード変更を強制しないようにする
NIST Special Publication 800-63B Digital Identity Guidelines (NIST)
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.
- In Japanese: NIST Special Publication 800-63B Digital Authentication Guideline (翻訳版)
検証主体は、認証器が侵害されている、または加入者が変更要求を行った証拠がない限りは、記憶シークレットを任意で(例えば、定期的に)変更するよう要求すべきではない(SHOULD NOT)。
- In Japanese: NIST Special Publication 800-63B Digital Authentication Guideline (翻訳版)
ネットワークビギナーのための情報セキュリティハンドブック Ver.2.11 (NISC)(In Japanese)
7 パスワードの定期変更は必要なし。流出時は速やかに変更する
医療情報システムの安全管理に関するガイドライン 第 5 版 (MHLW)(In Japanese)
認証強度を維持するためには、交付時の初期パスワードの本人による変更や定期的なパスワード変更を義務付ける等、システムの実装や運用を工夫し、必ず本人しか知り得ない状態を保つよう対策を行う必要がある。 このような対策を徹底することは一般に困難であると考えられ、その実現可能性の観点 からは推奨されない。
Who neither recommends nor denies changeing password periodically
In Japanese: JIS Q 27001:2014
A.9.2.5 資産の管理責任者は,利用者のアクセス権を定められた間隔でレビューしなければならない。 A.9.3.1 秘密認証情報の利用時に,組織の慣行に従うことを,利用者に要求しなければならない。
- プライバシーマーク制度 (JIPDEC) JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版 新旧対照表 (In Japanese)
旧 ①パスワードの有効期限を設定している。
Conclusion:
You can choose either one of them according to what your customer said!
2017-07-07
Add 教育情報セキュリティポリシーに関するガイドライン案 (MEXT)
2017-08-12
Add コンピュータウイルス・不正アクセスの届出状況[2010年2月分]について(IPA) and JIS Q 27001:2014
2018-01-05
- Add 医療情報を受託管理する情報処理事業者における安全管理ガイドライン (METI), 医療情報を受託管理する情報処理事業者向けガイドライン 第 2 版 (METI), and 信用分野における個人情報保護に関するガイドライン (PPC)
- Removed 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (METI) and JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版(JIPDEC) (Note: プライバシーマーク制度 (JIPDEC) still remains.)
2019-01-29
- Move プライバシーマーク制度 (JIPDEC) JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版 from who recommends to who neither recommends nor denies
2019-02-22
- Move 医療情報システムの安全管理に関するガイドライン from who recommends to who doesn't recommend
