「定期的に変更するな」　NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表［セキュリティ］

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥・・
【ITmedia エンタープライズ メールマガジン 水曜日版：セキュリティ】2024.10.2
━━━━━━━━━━━━━━━━━━━━━
http://www.itmedia.co.jp/enterprise/subtop/security/

ITmedia エンタープライズ＆ニュースメール水曜日版では、サイバー攻撃などの脅威
に関する最新動向や情報セキュリティ対策に役立つコンテンツをお届けしています。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
╋担当者より
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
米国立標準技術研究所（NIST）がパスワードポリシーのガイドラインについて第2
版公開草案を発表しました。この中では、セキュリティにおいて話題になりやすいパ
スワードの、それも「定期変更」が不要であるということで、多くの方にセンセー
ショナルな内容になっているのではないでしょうか。

■「定期的に変更するな」　NISTがパスワードポリシーのガイドラインについて
第2版公開草案を発表
https://rd.itmedia.co.jp/7DFW

でも、ちょっと待ってください。これはパスワードの定期変更が無駄であるとか、意
味がないというものではなく、正確には「パスワードの定期的な変更は要求してはな
らない」という点であることには注意しましょう。これは利用者個人の話ではなく、
どちらかといえばセキュリティ担当者側、ポリシーの課題だということは忘れてはな
りません。ポリシーとして定期変更が義務付けられている組織は今も少なくないと思
います。しかし、今回の話を根拠にポリシー破りをするのではなく、やはりポリシー
自体を変えてもらうというのが正攻法ではあります。その際には、ぜひこの記事の
URLをセキュリティ担当者に送ってあげてください。

それ以外にも、CVE（共通脆弱性識別子）に対して“全て対処するのはムリ”とい
う、これまた私たちが共感できる（？）記事も公開しています。ただしこれも“全
て”という条件付き。対応しなければならない脆弱性があるということです。ではそ
れをどう見つけるか。それができれば、こんな苦労はしていませんよね……。なかな
か難しい問題です。

■全て対処するのはムリ　爆増する“CVE”に組織はどう対処すればいいのか？
https://rd.itmedia.co.jp/7DFK

　　　　　　　　　　　　　　　　　　　　　　　　　　（編集部 宮田）

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
╋エンタープライズセキュリティの注目記事（2024/9/25〜2024/10/1）
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
■「定期的に変更するな」　NISTがパスワードポリシーのガイドラインについて
第2版公開草案を発表
https://rd.itmedia.co.jp/7DFO

■IPAがAISIのレッドチーミングガイドを紹介　攻撃者視点でAIシステムを守る
https://rd.itmedia.co.jp/7DFI

■Windows 11の目玉機能「Windows Recall」　ユーザーの安全な利用に向けた実装が
加わる
https://rd.itmedia.co.jp/7DFT

■海外出張でのPC管理、おろそかにしていませんか？　注意すべきリスクと推奨策
https://rd.itmedia.co.jp/7DFU

■UNIXなどで使われる印刷システム「CUPS」に深刻な脆弱性　推奨される対策は？
https://rd.itmedia.co.jp/7DFR

■Fortinetの顧客データにサイバー攻撃者が不正アクセス　侵害の影響は？
https://rd.itmedia.co.jp/7DFH

■セキュリティ人材の成長が停滞、550万人で頭打ち　人材不足悪化の要因は何か？
https://rd.itmedia.co.jp/7DFN

■全て対処するのはムリ　爆増する“CVE”に組織はどう対処すればいいのか？
https://rd.itmedia.co.jp/7DFQ

■リコージャパンがサプライチェーン攻撃被害を報告　委託先がランサムウェア感染
か
https://rd.itmedia.co.jp/7DFL

■Googleが提唱する新たなセキュリティ戦略「防御側の優位性」とは何か？
https://rd.itmedia.co.jp/7DFP

■東洋紡は22のセキュリティツールが同時に動く環境をどう改善したか？
https://rd.itmedia.co.jp/7DFG

■2024年8月に国内外で最も活発なマルウェアやランサムウェアグループが判明
https://rd.itmedia.co.jp/7DFM

■Cloudflareが最新の脅威インテリジェンス機能を無償で提供　対象製品・機能は？
https://rd.itmedia.co.jp/7DFV

■Windows Server 2025で「ホットパッチ」がプレビュー開始　Azure Arc環境が対象
https://rd.itmedia.co.jp/7DFJ

■ランサムウェア攻撃対応マニュアル　身代金を払う前にやるべき「10のこと」
https://rd.itmedia.co.jp/7DFS

==TechTarget [PR]-----------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………・・・
★TechTargetジャパンのお薦めバックナンバーをピックアップしてお知らせします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………・・・

■ iPhoneやAndroid“1台”でもう十分？　スマホを「ノートPC」に変える方法
https://rd.itmedia.co.jp/7D8c

■ C++でもRustでもなく「Zig」が必要なのはなぜか
https://rd.itmedia.co.jp/7D8r

■ 「HDD要らない説」がもはや“異端”ではなくなった理由
https://rd.itmedia.co.jp/7D8w

■ セキュリティエンジニアとしての活躍の場が広がる「お薦め認定資格」6選
https://rd.itmedia.co.jp/7D8p

■ テレワーク信者なら納得？　在宅勤務が多い人ほど“あれ”
https://rd.itmedia.co.jp/7D8e

--------------------------------------------------------------------------==