情報セキュリティの脅威はすぐそこに

「パスワードを変更しない習慣」は根付くか?

従来のパスワードの考え方の1つに、「パスワードの定期変更」というものがありましたが、現在、この考え方が急激に変わりつつあります。
2018年3月に、総務省が運営している「国民のための情報セキュリティサイト」にて、定期的なパスワード変更を行うよりも、むしろパスワードが破られたり、流出したりといった問題が発生した際に対処を行うことのほうが重要という旨が記載が追加されました。


元々は2017年11月に公開されていたものではありますが、2018年3月末に日経新聞の記事をきっかけに大きな話題になりました。
以前から定期変更は無意味でむしろ危険という指摘はあり、昨年半ばに米国国立標準技術研究所(以下、NIST)が発行している「NIST Special Publication 800-63-3 Digital Identity Guidelines(デジタル認証ガイドライン)」にて、「定期的なパスワード変更を強制しないほうが良い」との記載がなされ、続けて、内閣サイバーセキュリティセンター(以下、NISC)が発行する「情報セキュリティハンドブック」にて、「パスワードの定期変更は必要なし」と明記されたという流れがあります。

この報道を受けてか、プライバシーマークの発行を行っている日本情報経済社会推進協会(JIPDEC)がガイドラインを改訂し、パスワードの定期的な変更は不要としました。
さらに大手サイトのミクシィやヤフーなども自社サービスのページから定期的な変更を促す文言を削除すると報じられるなど、急速に対応が進んでいます。

ちなみにですが、NISTでは「(サービス利用者に対し)定期的なパスワード変更を強要しないほうが良い」という助言程度の表現であることに対し、NISCや総務省では「定期的なパスワード変更は不要である」と断定的な表現であり、米国と日本とで方針がやや違うように感じます。

かなり前からセキュリティ研究者の間では「定期変更が無意味である」という指摘はされ続けており、この1年ほどの間に大きく事態が動いたと言えそうです。
一般層への浸透がどの程度の速度で進むかが続いての注目でしょう。
企業向けではJIPDECが、個人向けではヤフーが方針変更を明らかにしており、意外と早く根付く可能性もあるような気がしてきます。

では、「パスワードの定期変更は不要か?」と問われると、筆者の感覚だとケースバイケースと感じています。

無条件に変更しなくても良いわけではなく、「パスワードを変更しなくてもよい前提条件」を満たしていなければならないという事実ももう少しアピールされるべきとも感じます。
そもそもこの方針変更の前提にあるのは、パスワードの変更を強いられることで作り方がパターン化したり使い回しをすることが当たり前になってしまうというユーザー心理にあります。
つまりそれに比べれば強力なパスワードを設定してそのまま変更しない方が遥かに安全だという考え方になります。
従って、

「類推しづらい文字列を使う」
「可能な限りの長さにする」
「サイトやサービスごとに使いまわさない」

といったところが、「パスワードを変更しなくても良い前提条件」になり、これらを踏まえて「パスワードの漏えいの可能性が無い限りは変更する必要がない」というロジックになる話、というわけです。

多くのサービスなどでこの流れが主流になる可能性は高いですが、一方でパスワードに設定できる文字数や文字種が少ないサービスもあり、そもそも強力なパスワードが設定できない場合も多々あります。
またパスワードリマインダなどを使った時に設定したパスワードが平文で送られてくるサービスというのもまだ存在しており、これは「パスワードが平文のまま流出する可能性があるサービスだ」ということを自白しているに等しいものです。

今後、「パスワードの定期変更促進・強制の廃止」と同時に、こういったパスワードの設定・保管ポリシーもより良くなることに期待したいものです。