総務省「パスワードを定期的に変えるのは逆に危険です」…何それ今さら?!

【方針転換】総務省「パスワードを定期的に変えるのは逆に危険です」
以下は、記事の抜粋です。


インターネットの普及に伴い、誰もが1つくらいは何かしらのパスワードをお持ちのことだろう。パスワードの種類が多いと管理も大変だが、これまでは「安全のためパスワードは定期的に変更した方がイイ」とされていた。だがしかし……。

2018年3月より総務省は従来の方針を180度変換し「パスワードが破られたり流出しない限り変更は不要、むしろ定期的な変更は危険」としている。果たして総務省は何をきっかけに方針を180度変更したのだろうか?

今回の方針転換は総務省が手掛ける「国民のための情報セキュリティサイト」で確認できる。これまでは「安全のため定期的にパスワードを変更しましょう」と呼び掛けてきた総務省だが、2018年3月27日現在は以下のように記されているのだ。

利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。

むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます

・最新のガイドラインに準拠
従来とは真逆の方針であるが実はコレ、2017年に米国国立標準技術研究所(NIST)が発表した最新のガイドラインに準じたもので、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されているという。

ネット上には突然の方針転換に戸惑う人も多いようだが、速やかに最新のガイドラインに準拠する対応を評価する声もあがっている。おそらく今後は「サービス側からのパスワード変更の要求」も減っていく流れになるのだろう。

とにもかくにも、総務省によれば「パスワードを定期的に変更する必要はない、むしろ危険」とのことなので、もしインターネット上で「定期的なパスワードの変更」を要求されても基本的には無視していいハズだ。


もともと、提供側が顧客にパスワードの定期変更を要求するのは、安全のためではなく提供側が顧客に責任転嫁するためだ、という説もあります。

総務省の同じサイトには、「安全なパスワード」について、以下のように書かれています。


安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと


ランダムなパスワードを、覚えられる限り多く用意しておくしかないということでしょうか?これは、高齢化社会にはあまりに不向きなシステムです。総務省が参考にしているアメリカの国立標準技術研究所(NIST)は、具体的な代わりの案を出してくれています。

それは。「パスフレーズ」です。例えば、”Tr0ub4dor&3″というパスワードよりも、”correct horse battery staple”という「パスフレーズ」の方がはるかに破りにくいそうです。NISTは、定期的なパスワード変更を止める代わり最低64文字でスペースも入れられる「パスフレーズ」を推奨しています(記事をみる)。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくいということです。先ずは、多くのサイトでみられるパスワードの字数制限をやめてもらう必要があります。パスワードを8文字以下に指定しているような会社は、セキュリティーが破られたら、会社の責任にすべきだと思います。

関連記事
パスワードは定期的に変更してはいけない
かえって危ない、パスワードの定期変更

シェアする

  • このエントリーをはてなブックマークに追加

フォローする