パスワードの定期的な変更は、不要です!

インターネットでのお買い物や銀行の取引等、ネットのサービスは便利ですがアカウントの管理、特にパスワードをきちんと管理しておくことはセキュリティ上重要ですよね。
これまで、パスワードは英数字や記号等を含めて推測されにくいものを設定し、しかも定期的に変更しましょうとガイドされることが多かったと思います。
ところが、最近になって総務省がパスワードの定期的な変更は不要、といままでとは異なる注意喚起をしており、ネットのニュース等でちょっと話題になっています。
日経新聞:パスワード「頻繁に変更はNG」 総務省が方針転換

exciteニュース:パスワード定期変更は不要だった!総務省の方針転換に「やっと見直された」
確かに総務省のWebサイトには、以下のような記載がされており、定期的な変更は不要とはっきり書いています。

ホーム > 基礎知識 > インターネットの安全な歩き方 > IDとパスワード > 設定と管理のあり方

パスワードを複数のサービスで使い回さない(定期的な変更は不要)

またパスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

パスワードの定期的な変更をすべし、という今までの常識は、2003年に作成された「NIST Special Publication 800-63. Appendix A.」 という文書が元と言われていますが、実はこの文書を作成したビル・バー氏は、後日このことを悔やんでおりこの文書で書いたことは失敗作だったと、ウォール・ストリート・ジャーナルの取材で答えているとのことです。
ウォール・ストリート・ジャーナル:あのパスワード規則、実は失敗作だった
この文書は、今は改訂されており、パスワード期限に関する記載はなく、特殊文字の使用も必須条件にはなっていないとのことです。これらも規則はセキュリティには役に立たず単に使い勝手を悪化させただけだったと・・・
じゃあどうすればよいのか?というのが気になりますが、これは長く覚えやすいパスフレーズを使うべきで、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけでよいとのことです。
このウォール・ストリート・ジャーナルの記事は2017年8月頃に掲載されていますが、日本では最近になってようやく総務省が上記のようなガイドを示したところで、まだ定期的なパスワード変更を是正する動きはこれからという感じですね。
面倒な割にはセキュリティに効果がなかった、パスワードの定期的な変更ですが、システムやサービスによっては定期的な変更を必須にしている場合もあります。
日本でも早くこのことが広まってほしいと思います。

コメント

タイトルとURLをコピーしました