編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」
サイバーセキュリティ未来考

不要になったパスワードの定期変更と管理のあり方

吉澤亨史

2018-05-11 06:00

 本連載「サイバーセキュリティ未来考」では、注目のキーワードを読み解きながら、企業や組織におけるセキュリティ対策のこれからを占う。

パスワードの「定期的な変更」はなぜ廃止?

 総務省が公開している「国民のための情報セキュリティサイト」は、国民が安心してインターネットを利用するための心がけや対策について紹介している。同サイトのパスワードの「設定と管理のあり方」において、「パスワードの定期的な変更」という項目が削除された。これは外郭団体である情報処理推進機構(IPA)やJPCERT コーディネーションセンター(JPCERT/CC)に反映され、今後は一般的なサービスにも広がっていくと思われる。

 総務省は、この措置について米国国立標準技術研究所(NIST)による「NIST SP800-63B」(電子的認証に関するガイドライン)の変更を受けたものとしている。NIST SP800-63Bは、サービスプロバイダーがデジタル認証の実装を行う際の技術的なガイドラインを提供するものだ。この最新版では、「検証者は、パスワードの侵害やユーザーからの変更要求がない限り、パスワードを任意に(例えば、定期的に)変更する必要はない」という記述が追加されている。

 パスワードの定期的な変更が不要である理由について、総務省の同サイトでは、「むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題」としている。定期的に一定の基準を満たすパスワードを考えることよりも、サービスごとに異なる推測しづらいパスワードを設定する方が重要ということだ。


パスワードの定期変更を不要とした総務省の記述

 総務省が指針を示したことで、定期的なパスワード変更は、中央省庁でのセキュリティポリシーに反映され、それが自治体へと広がり、一般企業でも適用されていくと考えられる。システム管理者などにとっては、面倒な仕事が一つ減るかもしれない。

パスワード管理の意味

 今回の総務省の対応により、パスワード管理の基本は、「強固なパスワードを作成すること」と「パスワードが漏れないようにすること」に絞られた形だ。パスワードの作成については、各所で語られているので割愛するが、どんなに強固なパスワードを作成したところで、他人に漏れてしまっては意味がない。たとえ社内の同僚や上司であっても、また家族や友人であっても、パスワードを知られることは避ける必要がある。

 パスワードを漏らさないためには、可能であればどこにも記録せず、自分の記憶にのみとどめておくことがベストである。しかし、現在ではログインが必要な複数のサービスを利用しているケースが多いため、記憶だけに頼るのは困難といえる。それでも、メモに書いてPCに貼り付けるようなことは厳禁だ。もしメモに書くとしても、そのメモは鍵のかかる引き出しなどにしまっておくべきだろう。

 周囲の人間にパスワードを教えることも避けたい行動だ。以前は、自分のPCに保存してあるファイルが出先で必要になったときなどに、同僚に連絡して自分のPCにログインしてもらい、ファイルを送ってもらうというケースもあり得た。しかし、ログイン情報を聞いた同僚がメモに残し、それが漏えいする可能性もある。現在ではグループウェアを含むクラウドサービスを活用することで、出先でも社内のファイルにアクセスできるようになっているので、こうしたサービスを活用すべきといえる。

 特に気をつけたいのが、同じパスワードを複数のサービスで使い回すことだ。サイバー犯罪者は、漏えいしたログイン情報を入手すると、それを他のサービスでログイン試行することに使う。ログイン時のIDはメールアドレスが多いため、パスワードを使い回していると、他のサービスにまで不正にログインされてしまう危険性がある。こうした注意点は、企業であればセキュリティポリシーに明記すべきであろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]