パスワードの定期変更は不要 | 京都で働くコンサルタントのブログ
2018-04-01 07:36:01

パスワードの定期変更は不要

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

総務省「国民のための情報セキュリティサイト」で、
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
パスワードの定期変更に関する記述が変更されたことが話題になっています。

これまでは「パスワードの定期変更」が推奨されてきましたが、「定期的な変更は不要」と記述が変更されました。

以下、関連する記述を転載します。

利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。
(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2) https://www.nisc.go.jp/security-site/handbook/index.html



パスワードの定期変更が常識となったのは、アメリカ国立標準技術研究所(NIST)から2003年に公表された「NIST Special Publication 800-63 Appendix A」の記述がきっかけだと言われています。

そして、同研究所から2016年6月28日に公表された「DRAFT NIST Special Publication 800-63B」でパスワードの定期変更は不要と記述が改められ話題になりました。

このドラフトは2017年6月に正式に発行され、
https://pages.nist.gov/800-63-3/sp800-63b.html
これを受け、内閣サイバーセキュリティセンター(NISC)が追従し、総務省での注意喚起がそれに従った形です。


パスワードを定期的に変更する形をとると、できるだけ簡単にしよう、覚えられるように工夫しようとし、かえって簡単なパスワードになり、パスワードの強度が低くなってしまうことが懸念されます。

ノースカロライナ大学の研究によると、パスワードの定期変更は、以下のような予測可能なパターンで行なわれることが多い、とのこと。
・数字を増やす(例 1→2→3)
・似た文字に置き換える(例 S→$)
・記号を追加/削除する(例 末尾の!!!を!!に)
・数字/記号の位置を移動する(例 数字を末尾から先頭に移動)
(また、頻繁に変更されたパスワードを簡単に覚えておくために、
 パスワードの変更の月(時には年)をパスワードに含めることを
 多くのユーザーから聞いた)

https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes


なお、総務省「国民のための情報セキュリティサイト」では、「安全なパスワードの作成条件」として以下が記載されています。
・名前などの個人情報からは推測できないこと
・英単語などをそのまま使用していないこと
・アルファベットと数字が混在していること
・適切な長さの文字列であること
・類推しやすい並び方やその安易な組合せにしないこと
・パスワードを複数のサービスで使い回さないこと



前述のノースカロライナ大学の研究結果のいくつかは、この条件を満たしてしまうことも注目すべき点です。


パスワードは何のために設定するのか?という目的に立ち返ることが重要です。

その目的を達成するための手段であるはずのパスワード設定が、いつの間にか目的そのものにすり替わっていないでしょうか?
(作成条件を満たすパスワードを設定することしか考えず、本来の目的を達成できるかどうかを考慮しなくなっていないか)

これを機に現在使用しているパスワードについて、見直してみてはいかがでしょうか?





 

株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス